Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Policy Manager試してみた!
Search
ry
December 08, 2020
Technology
470
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Policy Manager試してみた!
ry
December 08, 2020
More Decks by ry
See All by ry
Kubernetesにおける学習基盤とLLMOpsの概要
ry
1
360
Kubernetesにおける推論基盤
ry
3
980
eBPF Tools on Kubernetes part1
ry
0
380
Vault Secrets Operator Tutorial
ry
0
620
KyvernoとRed Hat ACMを用いたマルチクラスターの一元的なポリシー制御
ry
0
1.3k
明日から始められるKyvernoを用いたポリシー制御
ry
4
970
CNDT2022 k8snovice Community introduction
ry
0
190
Policy Engine on Kubernetes
ry
1
1.5k
ConfigMap and Secret
ry
0
430
Other Decks in Technology
See All in Technology
「ちゃんとやっている」は独りよがりだった ― 不安に寄り添うインシデント対応へ / Towards incident response that addresses anxieties
chmikata
1
5k
LLMやAIエージェントをソフトウェアに組み込むプラクティス
shibuiwilliam
1
360
ローカルLLMとLINE Botの組み合わせ その3 / LINE DC Generative AI Meetup #8
you
PRO
0
130
DatabricksにおけるMCPソリューション
taka_aki
1
240
AI時代の EM への処方箋
staka121
PRO
0
130
SRE本の知られざる名シーン / The Hidden Gems of Google SRE Book
nari_ex
1
370
ゴールデンパスは敷いただけでは道にならない ─ 企画部門のエンジニアが技術標準を事業価値に変えるまで
mhrtech
0
140
インフラ寄りSREでも 開発に踏み出せる〜境界を越えてユーザー体験に向き合いたい〜
sansantech
PRO
2
3.7k
[2026-07-15] AI Ready なはずだったアーキテクチャと、見えてきた課題・次に目指す状態
wxyzzz
4
2.7k
ZOZOTOWNの進化と信頼性を両立する負荷試験
zozotech
PRO
2
160
環境凍結という Toil を倒す -セルフサービス型 Ephemeral テスト環境の 設計と実践
shirouz
1
2.3k
完全自律ロボットを作りたくて、先に開発を自律させた話(ROS Japan UG #63 LT)
rryz09
0
490
Featured
See All Featured
HDC tutorial
michielstock
2
740
Skip the Path - Find Your Career Trail
mkilby
1
160
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3.4k
Building a Modern Day E-commerce SEO Strategy
aleyda
45
9.1k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
360
30k
The Limits of Empathy - UXLibs8
cassininazir
1
440
4 Signs Your Business is Dying
shpigford
187
22k
Visualization
eitanlees
152
17k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
760
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
220
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
460
The Cult of Friendly URLs
andyhume
79
6.9k
Transcript
機密 <会社名> 専用 バージョン 1.0 Policy Manager試してみた! @URyo_0213
序章
去年の今頃..... そろそろOPA 試さないとな〜
OPA (Open Policy Agent) Admission Webhook機能を用いて、 ・Validating ・Mutating 等を行うことができるツール。 独自のRegoという言語を用いることで、
柔軟なPolicyの作成が可能。
Admission Webhook Authentication Authorization Mutating Admission Object Schema Admission Validating
Admission Persisted to etcd webhook webhook webhook webhook
Validating / Mutating 1 Validating 作成するリソースが、 Policyに対して許可していいものなのか、それとも拒否す べきものなのかを判断する。 2 Mutating
作成するリソースに対して、 Parameterの追加や変更をかける。
Rego https://play.openpolicyagent.org/p/ikesWCFIH8
ここまで来たところで..... Regoむずいよ なんで新しい言語 作るの? 泣くよ俺。
月日は流れ.... お! なんだ? kyvernoって
本章
Kyverno OPA同様にAdmission Webhookを用いて Validating / Mutating 等のPolicyを適用するこ とができるツール。 KubernetesのManifestの様にPolicyを適用で きるので、学習コストが低い。
Policy Structure https://kyverno.io/docs/writing-policies/structure/
Policy (Validating) spec.rulesの下で設定 matchにおいて、Policyを適用するリソースを指定 validateにおいて、検証内容と、引っかかった際の messageを記述
Policy設定後
labelを設定してみる
作成できた!!
Policy (Mutating) ImageのTagに「latest」が設定されている場合、 Manifest に「ImagePullPolicy: Always」を追加する。
Policy (Generating) Namespaceが作成された際、Excludeに書かれたもの以 外のものに対して、NetworkPolicyを設定する。
終章
最後に Regoのような特殊な言語はなくKyvernoは、学習コストが低め。 インストールも簡単なので、Policy Managerを触れてみる機会にいい かもしれない。
Thank you