Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Abrazando el cambio: Gobierno de Kubernetes com...

Ara
June 14, 2021
Programming
0
55

Abrazando el cambio: Gobierno de Kubernetes como código con OPA y Gatekeeper

Talk given at Kubernetes Community Days Spain 2021 - In Spanish

Ara

June 14, 2021
Tweet

More Decks by Ara

See All by Ara
CloudConf Italy - A Tale of Tail Latency
arapulido
0
39
Navigating the Sea of Local Kubernetes Clusters
arapulido
0
88
Observability For Serverless Workloads
arapulido
0
71
Cloud Services in Kubernetes - Discovering and Using Services with the Service Catalog and Kubeapps
arapulido
0
73
Telepresence - Seamless Development Environments in Kubernetes
arapulido
0
10k
Kubeless demo @ CNCF WG-Serverless meeting
arapulido
0
270
Securing the IoT - J On The Beach 2017
arapulido
1
150

Other Decks in Programming

See All in Programming
OSSで起業してもうすぐ10年 / Open Source Conference 2024 Shimane
furukawayasuto
0
100
subpath importsで始めるモック生活
10tera
0
300
.NET のための通信フレームワーク MagicOnion 入門 / Introduction to MagicOnion
mayuki
1
1.4k
Nurturing OpenJDK distribution: Eclipse Temurin Success History and plan
ivargrimstad
0
870
What’s New in Compose Multiplatform - A Live Tour (droidcon London 2024)
zsmb
1
470
【Kaigi on Rails 2024】YOUTRUST スポンサーLT
krpk1900
1
330
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
0
100
Flutterを言い訳にしない!アプリの使い心地改善テクニック5選🔥
kno3a87
1
150
Enabling DevOps and Team Topologies Through Architecture: Architecting for Fast Flow
cer
PRO
0
310
Outline View in SwiftUI
1024jp
1
320
광고 소재 심사 과정에 AI를 도입하여 광고 서비스 생산성 향상시키기
kakao
PRO
0
170
ペアーズにおけるAmazon Bedrockを⽤いた障害対応⽀援 ⽣成AIツールの導⼊事例 @ 20241115配信AWSウェビナー登壇
fukubaka0825
6
1.9k

Featured

See All Featured
Producing Creativity
orderedlist
PRO
341
39k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Six Lessons from altMBA
skipperchong
27
3.5k
The Language of Interfaces
destraynor
154
24k
Optimising Largest Contentful Paint
csswizardry
33
2.9k
Typedesign – Prime Four
hannesfritz
40
2.4k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
A Modern Web Designer's Workflow
chriscoyier
693
190k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.3k
Git: the NoSQL Database
bkeepers
PRO
427
64k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k

Transcript

  1. Abrazando el cambio: Gobierno de Kubernetes como código con Gatekeeper

    Ara Pulido @arapulido

  2. Kubernetes es una plataforma de orquestación de contenedores que ayuda

    a ejecutar aplicaciones contenerizadas en producción

  3. Datadog es una plataforma de monitorización y analíticas que ayuda

    a mejorar la observabilidad de infraestructura y aplicaciones

  4. Policy?

  5. Reglas que describen el comportamiento del software (y las herramientas

    que fuerzan su cumplimiento) Policy

  6. Role Based Access Control RBAC

  7. RBAC Sujeto Recurso de la API de Kubernetes Verbo

  8. RBAC Sujeto Recurso de la API de Kubernetes Verbo user:ara

    apiVersion:v1/core kind:Pod create get watch

  9. Policy Authz

  10. ¿Puedo ejecutar una imagen descargada de un repositorio externo? ¿Tiene

    mi pod todas las etiquetas (labels) que exige mi organización?
  11. None
  12. None
  13. None

  14. Domain agnostic Policy (rego) Data (json) Pregunta (json) Decisión (json)

  15. None

  16. Gatekeeper

  17. Authentication API request

  18. Authentication Authorization API request

  19. Authentication Authorization Admission Controllers API request Validate Mutate

  20. Admission Controllers ValidatingAdmissionWebhook MutatingAdmissionWebhook Gatekeeper

  21. Gatekeeper usa las primitivas de Kubernetes CRDs Gatekeeper controller

  22. CRDs principales ConstraintTemplate Constraint Constraint Constraint Constraint Constraint Constraint Constraint

  23. ConstraintTemplate apiVersion: templates.gatekeeper.sh/v1beta1 kind: ConstraintTemplate metadata: name: k8srequiredlabels spec: crd:

    spec: names: kind: K8sRequiredLabels validation: # Schema for the `parameters` field openAPIV3Schema: properties: labels: type: array items: string targets: targets: - target: admission.k8s.gatekeeper.sh rego: | package k8srequiredlabels violation[{"msg": msg, "details": {"missing_labels": missing}}] { provided := {label | input.review.object.metadata.labels[label]} required := {label | label := input.parameters.labels[_]} missing := required - provided count(missing) > 0 msg := sprintf("you must provide labels: %v", [missing]) }

  24. Constraints apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sRequiredLabels metadata: name: ns-must-have-gk spec: match:

    kinds: - apiGroups: [""] kinds: ["Namespace"] parameters: labels: ["gatekeeper"] apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sRequiredLabels metadata: name: pod-required-labels spec: match: namespace: "default" kinds: - apiGroups: [""] kinds: ["Pod"] parameters: labels: ["do-not-delete"]

  25. Gatekeeper facilita la reutilización de políticas

  26. Gatekeeper facilita la reutilización de políticas Las imágenes solo pueden

    venir de repositorios conocidos

  27. Gatekeeper facilita la reutilización de políticas Las imágenes solo pueden

    venir de repositorios conocidos Los Deployments tienen que tener una serie de etiquetas

  28. Gatekeeper facilita la reutilización de políticas Las imágenes solo pueden

    venir de repositorios conocidos Los Deployments tienen que tener una serie de etiquetas Las imágenes requieren un digest

  29. Gatekeeper facilita la reutilización de políticas Las imágenes solo pueden

    venir de repositorios conocidos Los Deployments tienen que tener una serie de etiquetas Las imágenes requieren un digest Los contenedores tienen que establecer límites para CPU y memoria dentro de unos valores

  30. Gatekeeper Library

  31. https-only

  32. https-only

  33. https://github.com/open-policy-agent/gatekeeper-library

  34. Observabilidad

  35. Métricas por defecto ConstraintTemplates, Constraints (gauge) 35 Webhook: #requests (count)

    and latency (histogram) Audit: #violations (count) and time last run (gauge) Sync: # resources cached (count) and time last run (gauge)

  36. Integración con Datadog 36

  37. Demo

  38. El host tiene que ser único para todos los objetos

    Ingress

  39. Policy Data El host tiene que ser único para todos

    los objetos Ingress

  40. apiVersion: config.gatekeeper.sh/v1alpha1 kind: Config metadata: name: config namespace: "gatekeeper-system" spec:

    sync: syncOnly: - group: "extensions" version: "v1beta1" kind: "Ingress" - group: "networking.k8s.io" version: "v1beta1" kind: "Ingress" Policy Data El host tiene que ser único para todos los objetos Ingress

  41. Demo

  42. ¡Muchas gracias! @arapulido