Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Policy Manager試してみた!

Avatar for ry ry
December 08, 2020
Technology
0
400

Policy Manager試してみた!

Avatar for ry

ry

December 08, 2020
Tweet

More Decks by ry

See All by ry
eBPF Tools on Kubernetes part1
Avatar for ry ry
0
260
Vault Secrets Operator Tutorial
Avatar for ry ry
0
510
KyvernoとRed Hat ACMを用いたマルチクラスターの一元的なポリシー制御
Avatar for ry ry
0
1k
明日から始められるKyvernoを用いたポリシー制御
Avatar for ry ry
3
750
CNDT2022 k8snovice Community introduction
Avatar for ry ry
0
140
Policy Engine on Kubernetes
Avatar for ry ry
1
1.4k
ConfigMap and Secret
Avatar for ry ry
0
340
Kubernetes APIに Pod内からアクセスしてみた
Avatar for ry ry
1
1.7k
AKS 101 in Kubernetes Novice Tokyo #1
Avatar for ry ry
0
640

Other Decks in Technology

See All in Technology
MCP Clientを活用するための設計と実装上の工夫
Avatar for Yudai Hayashi yudai00
1
810
Java で学ぶ 代数的データ型
Avatar for Kanon ysknsid25
1
440
Cursor Meetup Tokyo
Avatar for Shunta Komatsu iamshunta
2
610
アプリケーションの中身が見える!Mackerel APMの全貌と展望 / Mackerel APMリリースパーティ
Avatar for mackerelio mackerelio
0
450
All About Sansan – for New Global Engineers
Avatar for Sansan, Inc. sansan33
PRO
1
1.2k
TechBull Membersの開発進捗どうですか!?
Avatar for adachin0817 rvirus0817
0
220
從開發到架構設計的可觀測性實踐
Avatar for philipz philipz
0
110
Java 30周年記念! Javaの30年をふりかえる
Avatar for Yuichi.Sakuraba skrb
1
660
大手企業のAIツール導入の壁を越えて:サイバーエージェントのCursor活用戦略
Avatar for Gunther Brunner gunta
19
5k
Eight Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
3.2k
コードの考古学 〜労務システムから発掘した成長の糧〜
Avatar for Kenta SEKINE kenta_smarthr
1
1.2k
いまさら聞けない Git 超入門 〜Gitって結局なに?から始める第一歩〜
Avatar for とことんDevOps devops_vtj
0
160

Featured

See All Featured
Code Review Best Practice
Avatar for Trisha Gee trishagee
68
18k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
92
6k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
6
660
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
78
6.4k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
656
60k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
22
3.5k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
123
52k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
267
13k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.7k
KATA
Avatar for Megan Lloyd mclloyd
29
14k

Transcript

  1. 機密 <会社名> 専用 バージョン 1.0 Policy Manager試してみた! @URyo_0213

  2. 序章

  3. 去年の今頃..... そろそろOPA 試さないとな〜

  4. OPA (Open Policy Agent) Admission Webhook機能を用いて、 ・Validating ・Mutating 等を行うことができるツール。 独自のRegoという言語を用いることで、

    柔軟なPolicyの作成が可能。

  5. Admission Webhook Authentication Authorization Mutating Admission Object Schema Admission Validating

    Admission Persisted to etcd webhook webhook webhook webhook

  6. Validating / Mutating 1 Validating 作成するリソースが、 Policyに対して許可していいものなのか、それとも拒否す べきものなのかを判断する。 2 Mutating

    作成するリソースに対して、 Parameterの追加や変更をかける。

  7. Rego https://play.openpolicyagent.org/p/ikesWCFIH8

  8. ここまで来たところで..... Regoむずいよ なんで新しい言語 作るの? 泣くよ俺。

  9. 月日は流れ.... お! なんだ? kyvernoって

  10. 本章

  11. Kyverno OPA同様にAdmission Webhookを用いて Validating / Mutating 等のPolicyを適用するこ とができるツール。 KubernetesのManifestの様にPolicyを適用で きるので、学習コストが低い。

  12. Policy Structure https://kyverno.io/docs/writing-policies/structure/

  13. Policy (Validating) spec.rulesの下で設定 matchにおいて、Policyを適用するリソースを指定 validateにおいて、検証内容と、引っかかった際の messageを記述

  14. Policy設定後

  15. labelを設定してみる

  16. 作成できた!!

  17. Policy (Mutating) ImageのTagに「latest」が設定されている場合、 Manifest に「ImagePullPolicy: Always」を追加する。

  18. Policy (Generating) Namespaceが作成された際、Excludeに書かれたもの以 外のものに対して、NetworkPolicyを設定する。

  19. 終章

  20. 最後に Regoのような特殊な言語はなくKyvernoは、学習コストが低め。 インストールも簡単なので、Policy Managerを触れてみる機会にいい かもしれない。

  21. Thank you