Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Policy Manager試してみた!

ry
December 08, 2020
Technology
0
250

Policy Manager試してみた!

ry

December 08, 2020
Tweet

More Decks by ry

See All by ry
Vault Secrets Operator Tutorial
ry
0
190
KyvernoとRed Hat ACMを用いたマルチクラスターの一元的なポリシー制御
ry
0
420
明日から始められるKyvernoを用いたポリシー制御
ry
4
370
CNDT2022 k8snovice Community introduction
ry
0
29
Policy Engine on Kubernetes
ry
1
990
ConfigMap and Secret
ry
0
230
Kubernetes APIに Pod内からアクセスしてみた
ry
1
960
AKS 101 in Kubernetes Novice Tokyo #1
ry
0
500
meetup_topic__1.pdf
ry
0
610

Other Decks in Technology

See All in Technology
microCMSのエンジニア組織と文化
microcms
0
610
Transit Gatewayを使わなければならない場面を改めて考えてみる #dx_osarai
non97
0
3.3k
人工知能学会 AI哲学マップ・総括セッション 講演資料
miyayou
3
1.4k
dx_osarai_about_connection
hatahata021
0
440
2023.06.01_LangChain/Llamaindex/Whisperを使ったアプリケーション開発のまとめと展望
pharma_x_tech
0
760
Kubernetes Introduction
oracle4engineer
PRO
1
260
k6による負荷試験 入門から実践まで
fujiwara3
3
1.2k
どうしてもcgoから逃げられなくなったあなたに知ってほしいcgoの使い方入門
sakiengineer
1
1.1k
データマイニングと機械学習-SVM
trycycle
0
150
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
10
26k
推薦によるプロダクト改善とマイクロサービスが噛み合った話
hazumirr
2
750
テスト技法おさらい(仮)
scarletplover
0
110

Featured

See All Featured
The MySQL Ecosystem @ GitHub 2015
samlambert
240
11k
Visualization
eitanlees
130
12k
Stop Working from a Prison Cell
hatefulcrawdad
264
18k
Into the Great Unknown - MozCon
thekraken
6
490
Become a Pro
speakerdeck
PRO
7
3.4k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
16
1.2k
A better future with KSS
kneath
230
16k
The World Runs on Bad Software
bkeepers
PRO
59
5.9k
Fantastic passwords and where to find them - at NoRuKo
philnash
33
2k
Done Done
chrislema
178
15k
Designing with Data
zakiwarfel
92
4.3k
10 Git Anti Patterns You Should be Aware of
lemiorhan
644
55k

Transcript

  1. 機密 <会社名> 専用 バージョン 1.0
    Policy Manager試してみた!
    @URyo_0213

    View Slide

  2. 序章

    View Slide

  3. 去年の今頃.....
    そろそろOPA
    試さないとな〜

    View Slide

  4. OPA (Open Policy Agent)
    Admission Webhook機能を用いて、
    ・Validating
    ・Mutating
    等を行うことができるツール。
    独自のRegoという言語を用いることで、
    柔軟なPolicyの作成が可能。

    View Slide

  5. Admission Webhook
    Authentication
    Authorization
    Mutating
    Admission
    Object
    Schema
    Admission
    Validating
    Admission
    Persisted to
    etcd
    webhook
    webhook webhook
    webhook

    View Slide

  6. Validating / Mutating
    1
    Validating
    作成するリソースが、 Policyに対して許可していいものなのか、それとも拒否す
    べきものなのかを判断する。
    2
    Mutating
    作成するリソースに対して、 Parameterの追加や変更をかける。

    View Slide

  7. Rego
    https://play.openpolicyagent.org/p/ikesWCFIH8

    View Slide

  8. ここまで来たところで.....
    Regoむずいよ
    なんで新しい言語
    作るの?
    泣くよ俺。

    View Slide

  9. 月日は流れ....
    お!
    なんだ?
    kyvernoって

    View Slide

  10. 本章

    View Slide

  11. Kyverno
    OPA同様にAdmission Webhookを用いて
    Validating / Mutating 等のPolicyを適用するこ
    とができるツール。
    KubernetesのManifestの様にPolicyを適用で
    きるので、学習コストが低い。

    View Slide

  12. Policy Structure
    https://kyverno.io/docs/writing-policies/structure/

    View Slide

  13. Policy (Validating)
    spec.rulesの下で設定
    matchにおいて、Policyを適用するリソースを指定
    validateにおいて、検証内容と、引っかかった際の
    messageを記述

    View Slide

  14. Policy設定後

    View Slide

  15. labelを設定してみる

    View Slide

  16. 作成できた!!

    View Slide

  17. Policy (Mutating)
    ImageのTagに「latest」が設定されている場合、
    Manifest
    に「ImagePullPolicy: Always」を追加する。

    View Slide

  18. Policy (Generating)
    Namespaceが作成された際、Excludeに書かれたもの以
    外のものに対して、NetworkPolicyを設定する。

    View Slide

  19. 終章

    View Slide

  20. 最後に
    Regoのような特殊な言語はなくKyvernoは、学習コストが低め。
    インストールも簡単なので、Policy Managerを触れてみる機会にいい
    かもしれない。

    View Slide

  21. Thank you

    View Slide