Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Policy Manager試してみた!
Search
ry
December 08, 2020
Technology
0
450
Policy Manager試してみた!
ry
December 08, 2020
Tweet
Share
More Decks by ry
See All by ry
Kubernetesにおける推論基盤
ry
1
390
eBPF Tools on Kubernetes part1
ry
0
340
Vault Secrets Operator Tutorial
ry
0
590
KyvernoとRed Hat ACMを用いたマルチクラスターの一元的なポリシー制御
ry
0
1.2k
明日から始められるKyvernoを用いたポリシー制御
ry
4
900
CNDT2022 k8snovice Community introduction
ry
0
170
Policy Engine on Kubernetes
ry
1
1.4k
ConfigMap and Secret
ry
0
400
Kubernetes APIに Pod内からアクセスしてみた
ry
1
2k
Other Decks in Technology
See All in Technology
Go標準パッケージのI/O処理をながめる
matumoto
0
210
わたしがセキュアにAWSを使えるわけないじゃん、ムリムリ!(※ムリじゃなかった!?)
cmusudakeisuke
1
750
楽しく学ぼう!ネットワーク入門
shotashiratori
1
390
楽しく学ぼう!ネットワーク入門
shotashiratori
4
3.3k
PMとしての意思決定とAI活用状況について
lycorptech_jp
PRO
0
130
組織全体で実現する標準監視設計
yuobayashi
3
490
Claude Code Skills 勉強会 (DevelersIO向けに調整済み) / claude code skills for devio
masahirokawahara
1
21k
楽しく学ぼう!コミュニティ入門 AWSと人が つむいできたストーリー
hiroramos4
PRO
1
200
TypeScript 7.0の現在地と備え方
uhyo
6
990
OCHaCafe S11 #2 コンテナ時代の次の一手:Wasm 最前線
oracle4engineer
PRO
2
130
(Test) ai-meetup slide creation
oikon48
3
410
AIエージェント、 社内展開の前に知っておきたいこと
oracle4engineer
PRO
2
140
Featured
See All Featured
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
100
How to Ace a Technical Interview
jacobian
281
24k
Everyday Curiosity
cassininazir
0
160
Automating Front-end Workflow
addyosmani
1370
200k
The SEO Collaboration Effect
kristinabergwall1
0
390
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.5k
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
320
Reality Check: Gamification 10 Years Later
codingconduct
0
2k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.2k
Google's AI Overviews - The New Search
badams
0
930
Paper Plane
katiecoart
PRO
0
48k
How Software Deployment tools have changed in the past 20 years
geshan
0
33k
Transcript
機密 <会社名> 専用 バージョン 1.0 Policy Manager試してみた! @URyo_0213
序章
去年の今頃..... そろそろOPA 試さないとな〜
OPA (Open Policy Agent) Admission Webhook機能を用いて、 ・Validating ・Mutating 等を行うことができるツール。 独自のRegoという言語を用いることで、
柔軟なPolicyの作成が可能。
Admission Webhook Authentication Authorization Mutating Admission Object Schema Admission Validating
Admission Persisted to etcd webhook webhook webhook webhook
Validating / Mutating 1 Validating 作成するリソースが、 Policyに対して許可していいものなのか、それとも拒否す べきものなのかを判断する。 2 Mutating
作成するリソースに対して、 Parameterの追加や変更をかける。
Rego https://play.openpolicyagent.org/p/ikesWCFIH8
ここまで来たところで..... Regoむずいよ なんで新しい言語 作るの? 泣くよ俺。
月日は流れ.... お! なんだ? kyvernoって
本章
Kyverno OPA同様にAdmission Webhookを用いて Validating / Mutating 等のPolicyを適用するこ とができるツール。 KubernetesのManifestの様にPolicyを適用で きるので、学習コストが低い。
Policy Structure https://kyverno.io/docs/writing-policies/structure/
Policy (Validating) spec.rulesの下で設定 matchにおいて、Policyを適用するリソースを指定 validateにおいて、検証内容と、引っかかった際の messageを記述
Policy設定後
labelを設定してみる
作成できた!!
Policy (Mutating) ImageのTagに「latest」が設定されている場合、 Manifest に「ImagePullPolicy: Always」を追加する。
Policy (Generating) Namespaceが作成された際、Excludeに書かれたもの以 外のものに対して、NetworkPolicyを設定する。
終章
最後に Regoのような特殊な言語はなくKyvernoは、学習コストが低め。 インストールも簡単なので、Policy Managerを触れてみる機会にいい かもしれない。
Thank you
ry
matumoto
cmusudakeisuke
shotashiratori
lycorptech_jp
yuobayashi
masahirokawahara
hiroramos4
uhyo
oracle4engineer
oikon48
tmiket
jacobian
cassininazir
addyosmani
kristinabergwall1
inesmontani
rkendrick25
codingconduct
mraible
badams
katiecoart
geshan
