Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Policy Manager試してみた!
Search
ry
December 08, 2020
Technology
0
380
Policy Manager試してみた!
ry
December 08, 2020
Tweet
Share
More Decks by ry
See All by ry
eBPF Tools on Kubernetes part1
ry
0
210
Vault Secrets Operator Tutorial
ry
0
460
KyvernoとRed Hat ACMを用いたマルチクラスターの一元的なポリシー制御
ry
0
940
明日から始められるKyvernoを用いたポリシー制御
ry
3
700
CNDT2022 k8snovice Community introduction
ry
0
110
Policy Engine on Kubernetes
ry
1
1.3k
ConfigMap and Secret
ry
0
320
Kubernetes APIに Pod内からアクセスしてみた
ry
1
1.6k
AKS 101 in Kubernetes Novice Tokyo #1
ry
0
600
Other Decks in Technology
See All in Technology
【JAWS-UG大阪 reInvent reCap LT大会 サンバが始まったら強制終了】“1分”で初めてのソロ参戦reInventを数字で振り返りながら反省する
ttelltte
0
140
Alignment and Autonomy in Cybozu - 300人の開発組織でアラインメントと自律性を両立させるアジャイルな組織運営 / RSGT2025
ama_ch
1
2.4k
Goで実践するBFP
hiroyaterui
1
120
re:Invent 2024のふりかえり
beli68
0
110
シフトライトなテスト活動を適切に行うことで、無理な開発をせず、過剰にテストせず、顧客をビックリさせないプロダクトを作り上げているお話 #RSGT2025 / Shift Right
nihonbuson
3
2.1k
Reactフレームワークプロダクトを モバイルアプリにして、もっと便利に。 ユーザに価値を届けよう。/React Framework with Capacitor
rdlabo
0
130
ドメイン駆動設計の実践により事業の成長スピードと保守性を両立するショッピングクーポン
lycorptech_jp
PRO
12
2.2k
0→1事業こそPMは営業すべし / pmconf #落選お披露目 / PM should do sales in zero to one
roki_n_
PRO
1
1.5k
Amazon Route 53, 待ちに待った TLSAレコードのサポート開始
kenichinakamura
0
170
今から、 今だからこそ始める Terraform で Azure 管理 / Managing Azure with Terraform: The Perfect Time to Start
nnstt1
0
240
AWS re:Invent 2024 recap in 20min / JAWSUG 千葉 2025.1.14
shimy
1
100
2024AWSで個人的にアツかったアップデート
nagisa53
1
110
Featured
See All Featured
Side Projects
sachag
452
42k
How STYLIGHT went responsive
nonsquared
96
5.3k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.8k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
113
50k
Building an army of robots
kneath
302
45k
Automating Front-end Workflow
addyosmani
1366
200k
Optimising Largest Contentful Paint
csswizardry
33
3k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.6k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.5k
A Tale of Four Properties
chriscoyier
157
23k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
173
51k
Transcript
機密 <会社名> 専用 バージョン 1.0 Policy Manager試してみた! @URyo_0213
序章
去年の今頃..... そろそろOPA 試さないとな〜
OPA (Open Policy Agent) Admission Webhook機能を用いて、 ・Validating ・Mutating 等を行うことができるツール。 独自のRegoという言語を用いることで、
柔軟なPolicyの作成が可能。
Admission Webhook Authentication Authorization Mutating Admission Object Schema Admission Validating
Admission Persisted to etcd webhook webhook webhook webhook
Validating / Mutating 1 Validating 作成するリソースが、 Policyに対して許可していいものなのか、それとも拒否す べきものなのかを判断する。 2 Mutating
作成するリソースに対して、 Parameterの追加や変更をかける。
Rego https://play.openpolicyagent.org/p/ikesWCFIH8
ここまで来たところで..... Regoむずいよ なんで新しい言語 作るの? 泣くよ俺。
月日は流れ.... お! なんだ? kyvernoって
本章
Kyverno OPA同様にAdmission Webhookを用いて Validating / Mutating 等のPolicyを適用するこ とができるツール。 KubernetesのManifestの様にPolicyを適用で きるので、学習コストが低い。
Policy Structure https://kyverno.io/docs/writing-policies/structure/
Policy (Validating) spec.rulesの下で設定 matchにおいて、Policyを適用するリソースを指定 validateにおいて、検証内容と、引っかかった際の messageを記述
Policy設定後
labelを設定してみる
作成できた!!
Policy (Mutating) ImageのTagに「latest」が設定されている場合、 Manifest に「ImagePullPolicy: Always」を追加する。
Policy (Generating) Namespaceが作成された際、Excludeに書かれたもの以 外のものに対して、NetworkPolicyを設定する。
終章
最後に Regoのような特殊な言語はなくKyvernoは、学習コストが低め。 インストールも簡単なので、Policy Managerを触れてみる機会にいい かもしれない。
Thank you
ry
ttelltte
ama_ch
hiroyaterui
beli68
nihonbuson
rdlabo
lycorptech_jp
roki_n_
kenichinakamura
nnstt1
shimy
nagisa53
sachag
nonsquared
samanthasiow
aki_iinuma
kneath
addyosmani
csswizardry
smashingmag
kastner
maggiecrowley
chriscoyier
soudai
