Kyverno 介绍

发布时间: 更新时间: 总字数:273 阅读时间:1m 作者: IP上海 分享 网址

Kyverno政策可以验证(validate)变异(mutate)生成(generate)清理(cleanup)Kubernetes资源,并确保OCI镜像供应链的安全性。

介绍

Kyverno是CNCF的一个孵化项目,作用:参考

  • 验证资源(validate)
  • 修改资源(mutate)
  • 创建资源(generate)

安装

kubectl create -f https://github.com/kyverno/kyverno/releases/download/v1.8.5/install.yaml

使用 kyverno 进行 secrets 同步配置

功能:实时地监控所有 Namespace 变更,一但有新 Namespace 被创建,立即将 vault secret 同步到该 Namespace

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: sync-secrets
spec:
  background: false
  rules:
  # 将 secret vault 从 argo Namespace 同步到其他所有 Namespace
  - name: sync-vault-secret
    match:
      resources:
        kinds:
        - Namespace
    generate:
      kind: Secret
      name: regcred
      namespace: "{{request.object.metadata.name}}"
      synchronize: true
      clone:
        namespace: argo
        name: vault
  # 可以配置多个 rules,每个 rules 同步一个 secret

参考

  1. https://kyverno.io/
Home Archives Categories Tags Statistics
本文总阅读量 次 本站总访问量 次 本站总访客数