$30 off During Our Annual Pro Sale. View Details »

Policy Manager試してみた!

ry
December 08, 2020
Technology
0
280

Policy Manager試してみた!

ry

December 08, 2020
Tweet

More Decks by ry

See All by ry
Vault Secrets Operator Tutorial
ry
0
330
KyvernoとRed Hat ACMを用いたマルチクラスターの一元的なポリシー制御
ry
0
570
明日から始められるKyvernoを用いたポリシー制御
ry
4
500
CNDT2022 k8snovice Community introduction
ry
0
58
Policy Engine on Kubernetes
ry
1
1.1k
ConfigMap and Secret
ry
0
260
Kubernetes APIに Pod内からアクセスしてみた
ry
1
1.1k
AKS 101 in Kubernetes Novice Tokyo #1
ry
0
530
meetup_topic__1.pdf
ry
0
630

Other Decks in Technology

See All in Technology
Micro Frontends for Java Microservices - SF JUG 2023
mraible
PRO
1
210
2023-12-01 吉祥寺.pm ベストプラクティスと組織とIaC
masasuzu
1
370
VS CodeとPostmanを活用した効率的なAPI開発 / Efficient API development using VS Code and Postman
yokawasa
3
330
Amazon Bedrock を利用したAIチャットボット開発
yukimatsuyoshi
2
510
ココナラでエンジニアマネージャーをやってみた!
coconala_engineer
1
130
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
6
5.2k
AWS re:Invent 2023の主要キーノート4つ全部を15分でおさらい
minorun365
PRO
1
260
AIをWebアプリに実装するための便利なPythonライブラリ
s2terminal
0
110
Repro の開発組織体制の変遷そして Platform Engineering / Platform Engineering Meetup #6
a_bicky
1
230
大規模Webアプリケーションプラットフォームを開発して軌道に乗るまでにやったこと / How to Put Platforms on Track
hhiroshell
0
420
Notionへのデータ移行を成功させる5つのポイント - NIFTY Tech Day 2023
niftycorp
0
130
分散ストレージはすごいぞ
sat
PRO
1
350

Featured

See All Featured
How to train your dragon (web standard)
notwaldorf
71
4.8k
4 Signs Your Business is Dying
shpigford
172
21k
Creatively Recalculating Your Daily Design Routine
revolveconf
208
11k
A designer walks into a library…
pauljervisheath
199
22k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
101
6.4k
Building Adaptive Systems
keathley
29
1.6k
Designing for humans not robots
tammielis
246
24k
KATA
mclloyd
13
11k
Rebuilding a faster, lazier Slack
samanthasiow
71
7.9k
Into the Great Unknown - MozCon
thekraken
7
660
Unsuck your backbone
ammeep
660
56k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
12
1.1k

Transcript

  1. 機密 <会社名> 専用 バージョン 1.0
    Policy Manager試してみた!
    @URyo_0213

    View Slide

  2. 序章

    View Slide

  3. 去年の今頃.....
    そろそろOPA
    試さないとな〜

    View Slide

  4. OPA (Open Policy Agent)
    Admission Webhook機能を用いて、
    ・Validating
    ・Mutating
    等を行うことができるツール。
    独自のRegoという言語を用いることで、
    柔軟なPolicyの作成が可能。

    View Slide

  5. Admission Webhook
    Authentication
    Authorization
    Mutating
    Admission
    Object
    Schema
    Admission
    Validating
    Admission
    Persisted to
    etcd
    webhook
    webhook webhook
    webhook

    View Slide

  6. Validating / Mutating
    1
    Validating
    作成するリソースが、 Policyに対して許可していいものなのか、それとも拒否す
    べきものなのかを判断する。
    2
    Mutating
    作成するリソースに対して、 Parameterの追加や変更をかける。

    View Slide

  7. Rego
    https://play.openpolicyagent.org/p/ikesWCFIH8

    View Slide

  8. ここまで来たところで.....
    Regoむずいよ
    なんで新しい言語
    作るの?
    泣くよ俺。

    View Slide

  9. 月日は流れ....
    お!
    なんだ?
    kyvernoって

    View Slide

  10. 本章

    View Slide

  11. Kyverno
    OPA同様にAdmission Webhookを用いて
    Validating / Mutating 等のPolicyを適用するこ
    とができるツール。
    KubernetesのManifestの様にPolicyを適用で
    きるので、学習コストが低い。

    View Slide

  12. Policy Structure
    https://kyverno.io/docs/writing-policies/structure/

    View Slide

  13. Policy (Validating)
    spec.rulesの下で設定
    matchにおいて、Policyを適用するリソースを指定
    validateにおいて、検証内容と、引っかかった際の
    messageを記述

    View Slide

  14. Policy設定後

    View Slide

  15. labelを設定してみる

    View Slide

  16. 作成できた!!

    View Slide

  17. Policy (Mutating)
    ImageのTagに「latest」が設定されている場合、
    Manifest
    に「ImagePullPolicy: Always」を追加する。

    View Slide

  18. Policy (Generating)
    Namespaceが作成された際、Excludeに書かれたもの以
    外のものに対して、NetworkPolicyを設定する。

    View Slide

  19. 終章

    View Slide

  20. 最後に
    Regoのような特殊な言語はなくKyvernoは、学習コストが低め。
    インストールも簡単なので、Policy Managerを触れてみる機会にいい
    かもしれない。

    View Slide

  21. Thank you

    View Slide