Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Policy Manager試してみた!
Search
ry
December 08, 2020
Technology
0
340
Policy Manager試してみた!
ry
December 08, 2020
Tweet
Share
More Decks by ry
See All by ry
Vault Secrets Operator Tutorial
ry
0
410
KyvernoとRed Hat ACMを用いたマルチクラスターの一元的なポリシー制御
ry
0
780
明日から始められるKyvernoを用いたポリシー制御
ry
3
640
CNDT2022 k8snovice Community introduction
ry
0
97
Policy Engine on Kubernetes
ry
1
1.2k
ConfigMap and Secret
ry
0
290
Kubernetes APIに Pod内からアクセスしてみた
ry
1
1.4k
AKS 101 in Kubernetes Novice Tokyo #1
ry
0
570
meetup_topic__1.pdf
ry
0
660
Other Decks in Technology
See All in Technology
VPoEの視点から見た、ヘンリーがサーバーサイドKotlinを使う理由 / Why Server-side Kotlin 2024
cho0o0
1
420
What is DRE? - Road to SRE NEXT@広島
chanyou0311
3
630
大規模ドラレコデータ収集・機械学習基盤を支える AWS CDK 〜導入・運用事例紹介〜
pemugi
0
110
AIアシスタントの活用で品質の向上と開発ワークフローのスピードアップ
nagix
1
210
スレットハンティングについて知っておきたいこと
hacket
0
130
たくさん本を読んだけど 1年後には綺麗サッパリ!を乗り越えて 学習の鬼になるぞ👹
yum3
0
160
コンテナ・K8s研修 - 前半 コンテナ基礎・ハンズオン【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
170
[NIKKEI Tech Talk] KDDI/KAG Scrum & Community for Engineering Training
curanosuke
2
220
累計ダウンロード数1億8000万を超えるアプリケーションプラットフォームのレガシーシステム脱却とモダン化への道
kmitsuhashi
0
120
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
280
データベース研修 分析向けSQL入門【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
110
CEL(Common Expression Language)で書いた条件にマッチしたIAM Policyを見つける / iam-policy-finder
fujiwara3
0
720
Featured
See All Featured
Being A Developer After 40
akosma
72
580k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
149
45k
Learning to Love Humans: Emotional Interface Design
aarron
269
39k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
121
18k
Building Your Own Lightsaber
phodgson
101
5.9k
Bootstrapping a Software Product
garrettdimon
PRO
304
110k
Building Adaptive Systems
keathley
34
2k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
23
1.9k
For a Future-Friendly Web
brad_frost
173
9.2k
Design by the Numbers
sachag
277
18k
From Idea to $5000 a Month in 5 Months
shpigford
377
46k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
228
16k
Transcript
機密 <会社名> 専用 バージョン 1.0 Policy Manager試してみた! @URyo_0213
序章
去年の今頃..... そろそろOPA 試さないとな〜
OPA (Open Policy Agent) Admission Webhook機能を用いて、 ・Validating ・Mutating 等を行うことができるツール。 独自のRegoという言語を用いることで、
柔軟なPolicyの作成が可能。
Admission Webhook Authentication Authorization Mutating Admission Object Schema Admission Validating
Admission Persisted to etcd webhook webhook webhook webhook
Validating / Mutating 1 Validating 作成するリソースが、 Policyに対して許可していいものなのか、それとも拒否す べきものなのかを判断する。 2 Mutating
作成するリソースに対して、 Parameterの追加や変更をかける。
Rego https://play.openpolicyagent.org/p/ikesWCFIH8
ここまで来たところで..... Regoむずいよ なんで新しい言語 作るの? 泣くよ俺。
月日は流れ.... お! なんだ? kyvernoって
本章
Kyverno OPA同様にAdmission Webhookを用いて Validating / Mutating 等のPolicyを適用するこ とができるツール。 KubernetesのManifestの様にPolicyを適用で きるので、学習コストが低い。
Policy Structure https://kyverno.io/docs/writing-policies/structure/
Policy (Validating) spec.rulesの下で設定 matchにおいて、Policyを適用するリソースを指定 validateにおいて、検証内容と、引っかかった際の messageを記述
Policy設定後
labelを設定してみる
作成できた!!
Policy (Mutating) ImageのTagに「latest」が設定されている場合、 Manifest に「ImagePullPolicy: Always」を追加する。
Policy (Generating) Namespaceが作成された際、Excludeに書かれたもの以 外のものに対して、NetworkPolicyを設定する。
終章
最後に Regoのような特殊な言語はなくKyvernoは、学習コストが低め。 インストールも簡単なので、Policy Managerを触れてみる機会にいい かもしれない。
Thank you