云原生開源 Kyverno 是來自 Nirmata 的開源項目����,后來也捐贈給了 CNCF��。和 Gatekeeper一樣�,Kyverno 也是一個具有驗證和變異能力的 Kubernetes 策略引擎����,但是它還有生成資源的功能,還加入了 API 對象查詢的能力�。
金東ssl適用于網(wǎng)站、小程序/APP�、API接口等需要進行數(shù)據(jù)傳輸應用場景,ssl證書未來市場廣闊�����!成為成都創(chuàng)新互聯(lián)公司的ssl證書銷售渠道�,可以享受市場價格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:18982081108(備注:SSL證書合作)期待與您的合作�!
OPA 的 Gatekeeper 以及 Kyverno 是 CNCF 的兩個頭部策略管理項目,兩個產(chǎn)品各有千秋����,前面我們已經(jīng)學習了 Gatekeeper,接下來我們就來了解下如何使用 Kyverno�����。
Kyverno 是來自 Nirmata 的開源項目,后來也捐贈給了 CNCF��。和 Gatekeeper一樣���,Kyverno 也是一個具有驗證和變異能力的 Kubernetes 策略引擎�����,但是它還有生成資源的功能,還加入了 API 對象查詢的能力�。與 Gatekeeper 不同,Kyverno 原本就是為 Kubernetes 編寫的��。和 Gatekeeper 相比�����,Kyverno 除了對象生成功能之外�,還無需專用語言即可編寫策略,從實現(xiàn)語言的角度上來看���,Kyverno 的模型更為簡潔����。畢竟 Gatekeeper 的 Rego 語言有一定的門檻。
同樣 Kyverno 在 Kubernetes 集群中也是作為動態(tài)準入控制器運行的��。Kyverno 從 kube-apiserver 接收驗證和修改準入 webhook HTTP 回調�,并應用匹配策略返回執(zhí)行準入策略或拒絕請求的結果。Kyverno 策略可以使用資源 Kind���、name 和標簽選擇器匹配資源���,而且名稱中支持通配符。
策略執(zhí)行是通過 Kubernetes events 來捕獲的��,Kyverno 還報告現(xiàn)有資源的策略違規(guī)行為�����。下圖顯示了 Kyverno 的整體架構:
Kyverno架構
Kyverno 的高可用安裝可以通過運行多個副本來完成�,并且 Kyverno 的每個副本將具有多個執(zhí)行不同功能的控制器。Webhook 處理來自 Kubernetes APIServer 的 AdmissionReview 請求��,其 Monitor 組件創(chuàng)建和管理所需的配置���。PolicyController watch 策略資源并根據(jù)配置的掃描間隔啟動后臺掃描�����,GenerateController 管理生成資源的生命周期����。
對比
由于 Gatekeeper 與 Kyverno 都是策略管理的項目,所以自然我們要對這兩個項目的優(yōu)劣勢做一個對比����。
Gatekeeper 的優(yōu)勢
- 能夠表達非常復雜的策略。
- 社區(qū)更為成熟�����。
- 支持多副本模式����,更好的可用性和伸縮性����。
Gatekeeper 的劣勢
- 需要編程語言支持,該語言的學習曲線較為陡峭�����,可能會產(chǎn)生大量技術債,并延長交付時間���。
- 沒有生成能力����,意味著它的主要應用場景就在驗證方面�。
- 策略復雜冗長,需要多個對象協(xié)同實現(xiàn)��。
Kyverno 的優(yōu)勢
- Kubernetes 風格的策略表達方式�����,非常易于編寫����。
- 成熟的變異能力。
- 獨特的生成和同步能力���,擴展了應用場景���。
- 快速交付,場景豐富��。
Kyverno 的劣勢
- 受到語言能力的限制,難以實現(xiàn)復雜策略�����。
- 較為年輕�,社區(qū)接受度不高。
- API 對象查詢能力還很初級����。
從上面對比可以看出來 Gatekeeper 最大的弱點是它需要 Rego 這門語言來實現(xiàn)策略邏輯,而這種語言在其他地方都無法使用����,這也大大增加了門檻,當然同樣這也是一種優(yōu)勢�����,因為編程語言可以實現(xiàn)非常強大的邏輯�����。相比 Gatekeeper 來說����,Kyverno 的第一印象就是沒有那么復雜的技術需求,因為它是專門為 Kubernetes 構建的��,并且用聲明式的方法來表達策略���,所以它的模型與 Kubernetes 對象的描述和協(xié)調方式是相同的���,這種模式導致策略的編寫方式得到了極大的簡化,全面降低了策略引擎的使用難度���。此外 Kyverno 的編譯和生成能力�����,使它從一個簡單的準入控制器轉變?yōu)橐粋€真正的自動化工具�����。通過結合這三種能力�,再加上最近增加的 API 查詢能力���,Kyverno 能夠執(zhí)行 Gatekeeper 所不能執(zhí)行的任務�。這種簡單性加上它的自動化能力和對其他工具的整合�����,為新用戶以及有經(jīng)驗的用戶和操作者帶來了巨大的價值。
當然具體選擇哪一個工具�,還是應該根據(jù)自己的需求和限制條件進行評估,但是有一點是所有生產(chǎn)環(huán)境的用戶都應該計劃使用策略引擎來保護集群的安全并簡化 Kubernetes 管理�。
安裝
你可以選擇直接從最新版本的資源清單安裝 Kyverno,直接執(zhí)行下面的命令即可:
kubectl create -f https://raw.githubusercontent.com/kyverno/kyverno/main/config/install.yaml
此外同樣可以使用 Helm 來進行一鍵安裝:
helm repo add kyverno https://kyverno.github.io/kyverno/
helm repo update
# Install the Kyverno Helm chart into a new namespace called "kyverno"
helm install kyverno kyverno/kyverno -n kyverno --create-namespace
安裝完成會創(chuàng)建一個 kyverno 命名空間��,同樣也包含一些相關的 CRD:
kubectl get pods -n kyverno
NAME READY STATUS RESTARTS AGE
kyverno-69bdfcfc7c-dbtlt 1/1 Running 0 29m
kubectl get validatingwebhookconfiguration
NAME WEBHOOKS AGE
kyverno-policy-validating-webhook-cfg 1 14m
kyverno-resource-validating-webhook-cfg 2 14m
kubectl get mutatingwebhookconfigurations
NAME WEBHOOKS AGE
kyverno-policy-mutating-webhook-cfg 1 14m
kyverno-resource-mutating-webhook-cfg 2 14m
kyverno-verify-mutating-webhook-cfg 1 14m
kubectl get crd |grep kyverno
clusterpolicies.kyverno.io 2022-03-29T07:21:22Z
clusterreportchangerequests.kyverno.io 2022-03-29T07:21:22Z
generaterequests.kyverno.io 2022-03-29T07:21:22Z
policies.kyverno.io 2022-03-29T07:21:22Z
reportchangerequests.kyverno.io 2022-03-29T07:21:23Z
可以看出安裝完成后創(chuàng)建了幾個 validatingwebhookconfiguration 與 mutatingwebhookconfigurations 對象����。
策略與規(guī)則
使用 Kyverno 其實就是對策略和規(guī)則的應用,Kyverno 策略是規(guī)則的集合�����,每個規(guī)則都包含一個 match 聲明�、一個可選的 exclude 聲明以及 validate、mutate�����、generate 或 verifyImages 聲明之一組成����,每個規(guī)則只能包含一個 validate、mutate�����、generate 或 verifyImages 子聲明����。
Kyverno策略
策略可以定義為集群范圍的資源(ClusterPolicy)或命名空間級別資源(Policy)。
- Policy 將僅適用于定義它們的 namespace 內(nèi)的資源����。
- ClusterPolicy 應用于匹配跨所有 namespace 的資源。
策略定義
編寫策略其實就是定義 Policy 或者 ClusterPolicy 對象���。
驗證資源
驗證規(guī)則基本上是我們使用最常見和最實用的規(guī)則類型����,當用戶或進程創(chuàng)建新資源時���,Kyverno 將根據(jù)驗證規(guī)則檢查該資源的屬性�,如果驗證通過�����,則允許創(chuàng)建資源。如果驗證失敗����,則創(chuàng)建被阻止。比如現(xiàn)在我們添加一個策略���,要求所有的 pod 都包含一個 kyverno 的標簽:
# kyverno-require-label.yaml
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
name: require-label
spec:
validationFailureAction: enforce
rules:
- name: check-for-labels
match:
resources:
kinds:
- Pod
validate:
message: "label 'kyverno' is required"
pattern:
metadata:
labels:
kyverno: "?*"
上面策略文件中添加了一個 validationFailureAction=[audit, enforce] 屬性:
- 當處于 audit 模式下 �����,每當創(chuàng)建違反規(guī)則集的一個或多個規(guī)則的資源時�����,會允許 admission review 請求�����,并將結果添加到報告中��。
- 當處于 enforce 模式下 ���,資源在創(chuàng)建時立即被阻止,報告中不會有。
然后就是下面使用 rules 屬性定義的規(guī)則集合�,match 用于表示匹配的資源資源�,validate 表示驗證方式,這里我們定義 kyverno: "?*" 這樣的標簽表示必須有這樣的一個標簽 key���。
直接應用上面的策略對象即可:
kubectl apply -f kyverno-require-label.yaml
clusterpolicy.kyverno.io/require-label created
kubectl get clusterpolicy
NAME BACKGROUND ACTION READY
require-label true enforce true
現(xiàn)在我們添加一個不帶標簽 kyverno 的 Pod:
kubectl run busybox --image=busybox:1.28.4 --restart=Never -- sleep 1000000
Error from server: admission webhook "validate.kyverno.svc-fail" denied the request:
resource Pod/default/busybox was blocked due to the following policies
require-label:
check-for-labels: 'validation error: label ''kyverno'' is required. Rule check-for-labels
failed at path /metadata/labels/kyverno/'
可以看到提示�����,需要一個 kyverno 標簽�����,同樣我們也可以通過查看 Events 事件來了解策略應用情況:
kubectl get events -A -w
......
metallb-system 9m25s Warning PolicyViolation daemonset/speaker policy 'require-label' (Validation) rule 'autogen-check-for-labels' failed. validation error: label 'kyverno' is required. Rule autogen-check-for-labels failed at path /spec/template/metadata/labels/kyverno/
default 0s Warning PolicyViolation clusterpolicy/require-label
如果創(chuàng)建的 Pod 帶有 kyverno 標簽則可以正常創(chuàng)建:
kubectl run busybox --image=busybox:1.28.4 --labels kyverno=demo --restart=Never -- sleep 1000000
pod/busybox created
如果將 validationFailureAction 的值更改為 audit����,則即使我們創(chuàng)建的 Pod 不帶有 kyverno 標簽����,也可以創(chuàng)建成功,但是我們可以在 PolicyReport 對象中看到對應的違規(guī)報告:
kubectl get policyreports
NAME PASS FAIL WARN ERROR SKIP AGE
polr-ns-default 0 2 0 0 0 20m
kubectl describe policyreports |grep "Result: \+fail" -B10
UID: 90d1dfc7-0e42-4133-8a65-4bbf559533a2
Results:
Message: validation error: label 'kyverno' is required. Rule autogen-check-for-labels failed at path /spec/template/metadata/labels/kyverno/
Policy: require-label
Resources:
API Version: apps/v1
Kind: Deployment
Name: minio
Namespace: default
UID: 86ccd8fc-07f6-47a4-a9ed-b9dec665dff3
Result: fail
--
Nanos: 0
Seconds: 1648541980
Message: validation error: label 'kyverno' is required. Rule check-for-labels failed at path /metadata/labels/kyverno/
Policy: require-label
Resources:
API Version: v1
Kind: Pod
Name: busybox
Namespace: default
UID: 7e593177-4366-462b-81cf-1057657ae099
Result: fail
從上面的報告資源中可以看到違反策略的資源對象��。
變更規(guī)則
變更規(guī)則可以用于修改匹配到規(guī)則的資源(比如規(guī)則設置了 metadata 字段可以和資源的 metadata 進行合并)���,就是根據(jù)我們設置的規(guī)則來修改對應的資源�����。
比如現(xiàn)在我們添加如下所示一個策略�����,給所有包含 nginx 鏡像 的 pod 都加上一個標簽(kyverno=nginx):
# kyverno-mutate-label.yaml
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
name: nginx-label
spec:
rules:
- name: nginx-label
match:
resources:
kinds:
- Pod
mutate:
patchStrategicMerge:
metadata:
labels:
kyverno: nginx
spec:
(containers):
- (image): "*nginx*" # 容器鏡像包含 nginx 即可
直接應用上面這個策略對象即可:
kubectl apply -f kyverno-mutate-label.yaml
clusterpolicy.kyverno.io/nginx-label created
kubectl get clusterpolicy
NAME BACKGROUND ACTION READY
nginx-label true audit true
require-label true enforce true
現(xiàn)在我們使用 nginx 鏡像直接創(chuàng)建一個 Pod:
kubectl run --image=nginx nginx
pod/nginx created
kubectl get pod nginx --show-labels
NAME READY STATUS RESTARTS AGE LABELS
nginx 1/1 Running 0 29s kyverno=nginx,run=nginx
可以看到 Pod 創(chuàng)建成功后包含了一個 kyverno=nginx 標簽���,由于有 kyverno 標簽���,所以上面的驗證策略也是通過的,可以正常創(chuàng)建���。
生成資源
生成規(guī)則可用于在創(chuàng)建新資源或更新源時創(chuàng)建其他資源�����,例如為命名空間創(chuàng)建新 RoleBindings 或 Secret 等�。
比如現(xiàn)在我們一個需求是將某個 Secret 同步到其他命名空間中去(比如 TLS 密鑰�、鏡像倉庫認證信息),手動復制這些 Secret 比較麻煩����,則我們可以使用 Kyverno 來創(chuàng)建一個策略幫助我們同步這些 Secret���。比如在 default 命名空間中有一個名為 regcred 的 Secret 對象,需要復制到另外的命名空間�,如果源 Secret 發(fā)生更改�,它還將向復制的 Secret 同步更新。
# kyverno-generate-secret.yaml
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
name: sync-secrets
spec:
rules:
- name: sync-image-pull-secret
match:
resources:
kinds:
- Namespace
generate: # 生成的資源對象
kind: Secret
name: regcred
namespace: "{{request.object.metadata.name}}" # 獲取目標命名空間
synchronize: true
clone:
namespace: default
name: regcred
先在 default 命名空間中準備我們的 Secret 對象:
kubectl create secret docker-registry regcred --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
secret/regcred created
然后應用上面的同步 Secret 策略:
kubectl apply -f kyverno-generate-secret.yaml
clusterpolicy.kyverno.io/sync-secrets created
kubectl get clusterpolicy
NAME BACKGROUND ACTION READY
nginx-label true audit true
require-label true enforce true
sync-secrets true audit true
現(xiàn)在我們創(chuàng)建一個新的命名空間:
kubectl create ns test
namespace/test created
kubectl get secret -n test
NAME TYPE DATA AGE
default-token-7b7cv kubernetes.io/service-account-token 3 7s
regcred kubernetes.io/dockerconfigjson 1 6s
可以看到在新建的命名空間中多了一個 regcred 的 Secret 對象��。
更多的 Kyverno 策略可以直接查看官方網(wǎng)站:https://kyverno.io/policies���,可以在該網(wǎng)站上面根據(jù)策略類型���、分類、主題等進行篩選�����。Kyverno 在靈活���、強大和易用之間取得了一個很好的平衡��,不需要太多學習時間�,就能夠提供相當方便的功能,官網(wǎng)提供了大量的針對各種場景的樣例����,非常值得使用。
當前名稱:使用Kyverno進行Kubernetes策略管理
當前URL:
http://uogjgqi.cn/article/cdgghjd.html
