Kyverno政策可以验证(validate)
、变异(mutate)
、生成(generate)
和清理(cleanup)
Kubernetes资源,并确保OCI镜像供应链的安全性。
介绍
Kyverno是CNCF的一个孵化项目,作用:参考
验证资源(validate)
修改资源(mutate)
创建资源(generate)
安装
kubectl create -f https://github.com/kyverno/kyverno/releases/download/v1.8.5/install.yaml
使用 kyverno 进行 secrets 同步配置
功能:实时地监控所有 Namespace 变更,一但有新 Namespace 被创建,立即将 vault secret 同步到该 Namespace
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
name: sync-secrets
spec:
background: false
rules:
# 将 secret vault 从 argo Namespace 同步到其他所有 Namespace
- name: sync-vault-secret
match:
resources:
kinds:
- Namespace
generate:
kind: Secret
name: regcred
namespace: "{{request.object.metadata.name}}"
synchronize: true
clone:
namespace: argo
name: vault
# 可以配置多个 rules,每个 rules 同步一个 secret