Halaman ini menunjukkan cara menulis template batasan kustom dan menggunakannya untuk memperluas Pengontrol Kebijakan jika Anda tidak dapat menemukan template batasan yang telah ditulis sebelumnya yang sesuai dengan kebutuhan Anda.
Kebijakan Pengontrol Kebijakan dijelaskan menggunakan Framework Batasan OPA dan ditulis dalam Rego. Kebijakan dapat mengevaluasi kolom apa pun pada objek Kubernetes.
Menulis kebijakan menggunakan Rego adalah keterampilan khusus. Karena alasan ini, library template batasan umum diinstal secara default. Anda mungkin dapat memanggil template batasan ini saat membuat batasan. Jika memiliki kebutuhan khusus, Anda dapat membuat template batasan sendiri.
Template batasan memungkinkan Anda memisahkan logika kebijakan dari persyaratan khususnya, untuk penggunaan ulang dan delegasi. Anda dapat membuat batasan menggunakan template batasan yang dikembangkan oleh pihak ketiga, seperti project open source, vendor software, atau pakar peraturan.
Sebelum memulai
- Instal Pengontrol Kebijakan.
Contoh template batasan
Berikut adalah contoh template batasan yang menolak semua resource yang namanya cocok dengan nilai yang diberikan oleh pembuat batasan. Bagian selanjutnya dari halaman ini membahas isi template, yang menyoroti konsep-konsep penting di sepanjang prosesnya.
Jika Anda menggunakan Config Sync dengan repositori hierarkis, sebaiknya buat batasan di direktori cluster/
.
apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
name: k8sdenyname
spec:
crd:
spec:
names:
kind: K8sDenyName
validation:
# Schema for the `parameters` field
openAPIV3Schema:
properties:
invalidName:
type: string
targets:
- target: admission.k8s.gatekeeper.sh
rego: |
package k8sdenynames
violation[{"msg": msg}] {
input.review.object.metadata.name == input.parameters.invalidName
msg := sprintf("The name %v is not allowed", [input.parameters.invalidName])
}
Contoh batasan
Berikut adalah contoh batasan yang mungkin Anda terapkan untuk menolak semua
resource bernama policy-violation
:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sDenyName
metadata:
name: no-policy-violation
spec:
parameters:
invalidName: "policy-violation"
Bagian dari template batasan
Template batasan memiliki dua bagian penting:
Skema batasan yang Anda inginkan untuk dibuat pengguna. Skema template batasan disimpan di kolom
crd
.Kode sumber Rego yang dijalankan saat batasan dievaluasi. Kode sumber Rego untuk template disimpan di kolom
targets
.
Skema (kolom crd
)
Kolom CRD adalah blueprint untuk membuat Kubernetes Custom Resource Definition yang menentukan resource batasan untuk server Kubernetes API. Anda hanya perlu mengisi kolom berikut.
Kolom | Deskripsi |
---|---|
spec.crd.spec.names.kind |
Jenis batasan. Jika huruf kecil, nilai
kolom ini harus sama dengan metadata.name . |
spec.crd.spec.validation.openAPIV3Schema |
Skema untuk kolom |
Mengawali template batasan dengan nama K8s
adalah konvensi yang memungkinkan Anda menghindari konflik dengan jenis template batasan lain, seperti template Forseti yang menargetkan resource Google Cloud.
Ganti kode sumber (kolom targets
)
Bagian berikut ini memberikan informasi selengkapnya tentang kode sumber Rego.
Lokasi
Kode sumber Rego disimpan di kolom spec.targets
, dengan targets
adalah array objek dengan format berikut:
{"target": "admission.k8s.gatekeeper.sh","rego": REGO_SOURCE_CODE, "libs": LIST_OF_REGO_LIBRARIES}
target
: memberi tahu Pengontrol Kebijakan tentang sistem yang sedang kita lihat (dalam hal ini Kubernetes); hanya satu entri ditargets
yang diizinkan.rego
: kode sumber untuk batasan.libs
: daftar opsional library kode Rego yang disediakan untuk template batasan; daftar ini dimaksudkan untuk mempermudah penggunaan library bersama dan berada di luar cakupan dokumen ini.
Kode sumber
Berikut adalah kode sumber Rego untuk batasan sebelumnya:
package k8sdenynames
violation[{"msg": msg}] {
input.review.object.metadata.name == input.parameters.invalidName
msg := sprintf("The name %v is not allowed", [input.parameters.invalidName])
}
Perhatikan hal-hal berikut:
package k8sdenynames
diperlukan oleh OPA (runtime Rego). Nilainya diabaikan.- Aturan Rego yang dipanggil Pengontrol Kebijakan untuk melihat apakah ada
pelanggaran disebut
violation
. Jika aturan ini memiliki kecocokan, berarti terjadi pelanggaran batasan. - Aturan
violation
memiliki tanda tanganviolation[{"msg": "violation message for the user"}]
, dengan nilai"msg"
adalah pesan pelanggaran yang ditampilkan kepada pengguna. - Parameter yang diberikan ke batasan tersedia dengan kata kunci
input.parameters
. request-under-test
disimpan dengan kata kunciinput.review
.
Kata kunci input.review
memiliki kolom berikut.
Kolom | Deskripsi |
---|---|
uid |
ID unik untuk permintaan khusus ini; ID tidak tersedia selama audit. |
kind |
Informasi Kind untuk
|
name |
Nama resource. Mungkin kosong jika pengguna mengandalkan server API untuk membuat nama pada permintaan CREATE. |
namespace |
Namespace resource (tidak disediakan untuk resource cakupan cluster). |
operation |
Operasi yang diminta (misalnya CREATE atau UPDATE); tidak tersedia selama audit. |
userInfo |
Informasi pengguna yang meminta; informasi tersebut tidak tersedia selama audit. Parameter ini memiliki format berikut:
|
object |
Objek yang coba diubah atau dibuat oleh pengguna. |
oldObject |
Status asli objek; status hanya tersedia pada operasi UPDATE. |
dryRun |
Apakah permintaan ini dipanggil dengan kubectl --dry-run ;
permintaan ini tidak tersedia selama audit. |
Menulis template batasan referensial
Template batasan referensial adalah template yang memungkinkan pengguna membatasi satu objek sehubungan dengan objek lain. Contohnya adalah "jangan mengizinkan Pod dibuat sebelum Ingress yang cocok diketahui ada". Contoh lainnya mungkin adalah "jangan izinkan dua layanan memiliki nama host yang sama".
Dengan Pengontrol Kebijakan, Anda dapat menulis batasan referensi dengan mengamati
server API untuk sekumpulan resource yang disediakan pengguna. Jika resource diubah,
Pengontrol Kebijakan akan menyimpannya secara lokal sehingga dapat dengan mudah dirujuk oleh
kode sumber Rego. Pengontrol Kebijakan membuat cache ini tersedia dengan kata kunci data.inventory
.
Resource cakupan cluster di-cache di lokasi berikut:
data.inventory.cluster["GROUP_VERSION"]["KIND"]["NAME"]
Misalnya, Node bernama my-favorite-node
dapat ditemukan di
data.inventory.cluster["v1"]["Node"]["my-favorite-node"]
Resource cakupan namespace di-cache di sini:
data.inventory.namespace["NAMESPACE"]["GROUP_VERSION"]["KIND"]["NAME"]
Misalnya, ConfigMap bernama production-variables
dalam namespace shipping-prod
dapat ditemukan di
data.inventory.namespace["shipping-prod"]["v1"]["ConfigMap"]["production-variables"]
Konten lengkap objek akan disimpan di lokasi cache ini dan dapat dirujuk dalam kode sumber Rego Anda sesuai keinginan Anda.
Informasi selengkapnya tentang Rego
Informasi sebelumnya menyediakan fitur unik Pengontrol Kebijakan yang memudahkan penulisan batasan pada resource Kubernetes di Rego. Tutorial lengkap tentang cara menulis di Rego berada di luar cakupan panduan ini. Namun, dokumentasi Open Policy Agent memiliki informasi tentang sintaksis dan fitur bahasa Rego itu sendiri.
Menginstal template batasan
Setelah Anda membuat template batasan, gunakan kubectl apply
untuk menerapkannya, dan Pengontrol Kebijakan akan menangani penyerapannya. Pastikan untuk memeriksa kolom status
pada template batasan Anda untuk memastikan tidak ada error
saat membuat instance. Saat penyerapan berhasil, kolom status
akan menampilkan
created: true
dan observedGeneration
yang tercantum dalam kolom status
harus
sama dengan kolom metadata.generation
.
Setelah template ditransfer, Anda dapat menerapkan batasan untuk template tersebut seperti yang dijelaskan dalam Membuat batasan.
Menghapus template batasan
Untuk menghapus template batasan, selesaikan langkah-langkah berikut:
Pastikan tidak ada batasan yang ingin Anda pertahankan menggunakan template batasan:
kubectl get TEMPLATE_NAME
Jika ada konflik penamaan antara nama template batasan dan objek yang berbeda di cluster, gunakan perintah berikut:
kubectl get TEMPLATE_NAME.constraints.gatekeeper.sh
Hapus template batasan:
kubectl delete constrainttemplate CONSTRAINT_TEMPLATE_NAME
Saat menghapus template batasan, Anda tidak dapat lagi membuat batasan yang mereferensikannya.
Langkah selanjutnya
- Pelajari Pengontrol Kebijakan lebih lanjut.
- Lihat dokumentasi referensi library template batasan.
- Pelajari cara menggunakan batasan, bukan PodSecurityPolicies.