Kyverno
Что такое Kyverno?
KyvernoKyverno — CNCF-движок политик Kubernetes, который валидирует, изменяет и создаёт ресурсы по политикам, написанным на нативном YAML, а не на отдельном DSL.
Kyverno устанавливается как admission webhook и выполняет CR-объекты ClusterPolicy или Policy в YAML с правилами selector, match, validate, mutate, generate и verifyImages. Так как язык политик повторяет структуру объектов Kubernetes, командам, знакомым с манифестами, не нужно изучать Rego. Kyverno также проверяет подписи образов (Cosign/Notation), сканирует существующие ресурсы в фоне, поддерживает исключения и автоматически создаёт зависимые объекты (NetworkPolicy, RoleBinding) при появлении нового namespace. Его часто используют для применения Pod Security Standards, подписи образов, регламентов меток и аттестаций цепочки поставок; он конкурирует с OPA Gatekeeper в области admission-политик.
● Примеры
- 01
Политика, автоматически создающая default-deny NetworkPolicy в каждом новом namespace.
- 02
Политика verifyImages требует валидную подпись Cosign на всех образах контейнеров.
● Частые вопросы
Что такое Kyverno?
Kyverno — CNCF-движок политик Kubernetes, который валидирует, изменяет и создаёт ресурсы по политикам, написанным на нативном YAML, а не на отдельном DSL. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Kyverno?
Kyverno — CNCF-движок политик Kubernetes, который валидирует, изменяет и создаёт ресурсы по политикам, написанным на нативном YAML, а не на отдельном DSL.
Как защититься от Kyverno?
Защита от Kyverno обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Kyverno?
Распространённые альтернативные названия: Политика Kyverno, ClusterPolicy.