Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Policy Manager試してみた!
Search
ry
December 08, 2020
Technology
460
0
Share
Policy Manager試してみた!
ry
December 08, 2020
More Decks by ry
See All by ry
Kubernetesにおける推論基盤
ry
3
740
eBPF Tools on Kubernetes part1
ry
0
350
Vault Secrets Operator Tutorial
ry
0
600
KyvernoとRed Hat ACMを用いたマルチクラスターの一元的なポリシー制御
ry
0
1.3k
明日から始められるKyvernoを用いたポリシー制御
ry
4
930
CNDT2022 k8snovice Community introduction
ry
0
180
Policy Engine on Kubernetes
ry
1
1.5k
ConfigMap and Secret
ry
0
410
Kubernetes APIに Pod内からアクセスしてみた
ry
1
2k
Other Decks in Technology
See All in Technology
Cortex Codeのコスト見積ヒントご紹介
yokatsuki
0
130
QAエンジニアはどうやって プロダクト議論の場に入れるのか?
moritamasami
1
300
知ってた?JavaScriptの"正しさ"を検証するテストが5万以上もあること(Test262)
riyaamemiya
0
120
AWS Agent Registry の基礎・概要を理解する/aws-agent-registry-intro
ren8k
3
430
もっとコンテンツをよく構造化して理解したいので、LLM 時代こそ Taxonomy の設計品質に目を向けたい〜!
morinota
0
130
大学職員のための生成AI最前線 :最前線を、AIガバナンスとして読み直すためのTips
gmoriki
1
2.9k
ファインディの事業拡大を支える 拡張可能なデータ基盤へのリアーキテクチャ
hiracky16
0
750
AIが盛んな時代に 技術記事を書き始めて起きた私の中での小さな変化
peintangos
0
340
[Oracle TechNight#99] 生成AI時代のAI/ML入門 ~ AIとオラクルデータベースの関係 (後半)
oracle4engineer
PRO
2
180
雑談は、センサーだった
bitkey
PRO
2
160
「QA=テスト」「シフトレフト=スクラムイベントの参加者の一員」の呪縛を解く。アジャイルな開発を止めないために、10Xで挑んだ「右側のしわ寄せ」解消記 #scrumniigata
nihonbuson
PRO
3
410
【技術書典20】OpenFOAM(自宅で深める流体解析)流れと熱移動(2)
kamakiri1225
0
360
Featured
See All Featured
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
0
220
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
110
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.8k
Measuring Dark Social's Impact On Conversion and Attribution
stephenakadiri
2
190
GraphQLとの向き合い方2022年版
quramy
50
15k
For a Future-Friendly Web
brad_frost
183
10k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
62
53k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
180
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
190
How STYLIGHT went responsive
nonsquared
100
6.1k
Believing is Seeing
oripsolob
1
120
Google's AI Overviews - The New Search
badams
0
990
Transcript
機密 <会社名> 専用 バージョン 1.0 Policy Manager試してみた! @URyo_0213
序章
去年の今頃..... そろそろOPA 試さないとな〜
OPA (Open Policy Agent) Admission Webhook機能を用いて、 ・Validating ・Mutating 等を行うことができるツール。 独自のRegoという言語を用いることで、
柔軟なPolicyの作成が可能。
Admission Webhook Authentication Authorization Mutating Admission Object Schema Admission Validating
Admission Persisted to etcd webhook webhook webhook webhook
Validating / Mutating 1 Validating 作成するリソースが、 Policyに対して許可していいものなのか、それとも拒否す べきものなのかを判断する。 2 Mutating
作成するリソースに対して、 Parameterの追加や変更をかける。
Rego https://play.openpolicyagent.org/p/ikesWCFIH8
ここまで来たところで..... Regoむずいよ なんで新しい言語 作るの? 泣くよ俺。
月日は流れ.... お! なんだ? kyvernoって
本章
Kyverno OPA同様にAdmission Webhookを用いて Validating / Mutating 等のPolicyを適用するこ とができるツール。 KubernetesのManifestの様にPolicyを適用で きるので、学習コストが低い。
Policy Structure https://kyverno.io/docs/writing-policies/structure/
Policy (Validating) spec.rulesの下で設定 matchにおいて、Policyを適用するリソースを指定 validateにおいて、検証内容と、引っかかった際の messageを記述
Policy設定後
labelを設定してみる
作成できた!!
Policy (Mutating) ImageのTagに「latest」が設定されている場合、 Manifest に「ImagePullPolicy: Always」を追加する。
Policy (Generating) Namespaceが作成された際、Excludeに書かれたもの以 外のものに対して、NetworkPolicyを設定する。
終章
最後に Regoのような特殊な言語はなくKyvernoは、学習コストが低め。 インストールも簡単なので、Policy Managerを触れてみる機会にいい かもしれない。
Thank you
ry
yokatsuki
moritamasami
riyaamemiya
ren8k
morinota
gmoriki
hiracky16
peintangos
oracle4engineer
bitkey
nihonbuson
kamakiri1225
samtorres
stuffmc
bcantrill
stephenakadiri
quramy
brad_frost
madoxten
ryanjones
gurzu
nonsquared
oripsolob
badams
