Search for a command to run...
Articles tagged with #kyverno
AWS 的 SSM Automation 中,有个有趣的特性就是单步执行,在编写自动化脚本的时候,这个功能对调试非常有帮助。Argo Workflow 也有个暂停特性,官网给出的例子是这样的: apiVersion: argoproj.io/v1alpha1 kind: Workflow metadata: generateName: pause-after- spec: entrypoint: whalesay templates: - name: whalesay ...
引言 在生产环境中应用 Kubernetes 时,出于安全、合规等管控目的,经常需要对工作负载进行审计、校验以及变更,例如下列场景: 为了便于在监控和日志中识别特定应用,我们希望业务应用的 Pod 具备合适的标签结构,标识本 Pod 的业务角色。 根据职责分离的设计原则,只允许 admin 用户在形如 xxx-system 的命名空间创建工作负载。 为了防范供应链攻击,限制仅有来自特定仓库的容器镜像才能运行,并且镜像拉取策略必须设置为 Always。 恶意用户或者应用可以通过加载主机目录...
Kubernetes 的 Pod Security Policy(PSP)即将被淘汰和移除,所以需要找到一个替代方案来填补这个即将出现的空白。目前看来,Kubernetes 自身并没有准备相应的替代方案,因此需要在 Kubernetes 之外寻求解决之道。CNCF 的两个头部项目可能会成为首选的替代产品,它们分别是基于 Open Policy Agent(OPA)的 Gatekeeper 以及 Kyverno,两个产品各行有千秋,但是目前还没有对这两个产品进行过正式的比较,这就让面临选择的用户无...
Kubernetes 的日常使用过程中,在对象提交给集群之前,我们会有很多机会,很多方法对资源的 Yaml 定义进行检查和处理。很多读者应该也会知道,资源提交之后,还有机会使用 Admission Controller 对资源动动手脚,这其中其实有很多可以提炼出来的标准动作,可以用统一的控制器来进行处理,Kyverno 就是这样一个工具。有了 Kyverno 的帮助,YAML 程序员可以根据条件对资源进行筛选,符合条件的资源可以: 验证资源:对资源定义进行检查,不符合条件的资源拒绝创建,从而保...
