[SCSK 엔지니어의 블로그] 슬롯 추천 ~ 정책 엔진 에디션 2 ~ | 블로그 | 슬롯 추천

블로그

온라인 슬롯 | Scsk Co., Ltd. Developer Square 블로그 | 슬롯 커뮤니티 | Scsk Co., Ltd. [SCSK 엔지니어의 블로그] SYSDIG ~ 정책 엔진 에디션 2 ~

2024

09Month

30Sun

[SCSK 엔지니어의 블로그] SYSDIG ~ 정책 엔진 에디션 2 ~

SCSK 엔지니어의 블로그!
이것은 12 번째 담당자 인 Kawasugi입니다. 이것은 지난번에 인기있는 정책 엔진의 속편입니다. 이번에는 Kyverno를 소개합니다.
이제, 가자!

"슬롯 추천로 무엇을해야합니까?"

4 번째 엔지니어 블로그 (/sp/슬롯 추천/blog/cat/scsk슬롯 추천.html)에서 다른 보안 솔루션으로 누락 된 요소를 보상하는 것이 중요하다고 설명했습니다.
검토 할게요슬롯 추천는 xx 금지와 같은 규칙을 시행 할 수있는 능력을 제공하지 않습니다이것이 다른 조치가 필요한 이유이므로 (이러한 요구 사항 중 일부는 자신의 FALCO 규칙을 작성하여 해결할 수 있지만 원래 목적과 다릅니다). 이러한 요구 사항이 Kubernetes (이후 K8S라고도 함) 환경에서 발생하는 경우 정책 엔진이라는 OSS를 구현하는 것이 좋습니다.
예 : 특정 레이블이없는 POD의 배포를 금지하고 싶습니다. 배포 할 수있는 컨테이너 이미지를 제한하고 싶습니다. .

정책 엔진 차이에 대해

이번에는 정책 엔진을 설명하지 않을 것입니다. 정책 엔진이 무엇인지 알고 싶다면 4 번째 엔지니어 블로그 (/sp/슬롯 추천/blog/cat/scsk슬롯 추천.html)를 읽으십시오.

Open Policy Agent/GateKeeper (이하 OPA/GateKeeper라고 함)
https : //kubernetes.io/blog/2019/08/06/opa-gatekeeper-policy-and-governance-for-kubernetes/
Kyverno
https : //kyverno.io/docs/introduction/

각 OSS는 다음과 같은 차이점이 있습니다.

	opa/gatekeeper	Kyverno
사용법	Rego	yaml
학습 비용	High (Rego Language를 배워야 함)	LOW (Yaml이기 때문에 직관적으로 만들 수 있음)
정책 유형	2 유형	5 유형
정책 적용 방법	제약 조건을 배치해야합니다	ClusterPolicy 배포 만
사용 가능한 환경	Kubernetes (예 : Linux, Docker) 이외의 환경에서도 사용할 수 있습니다.	Kubernetes 만

Kyverno는 후반기이기 때문에 사용 편의성을 고려하여 개발되었다는 인상을받습니다.
또한 정책 엔진을 사용하여 K8S 이외의 환경을 중앙에서 관리하려면 OPA를 채택해야합니다.
차이점에 대해 더 자세히 알고 싶다면 다양한 사람들이 차이점에 대한 블로그를 작성 했으므로 확인하십시오.
지난번에, 우리는 OPA/게이트 키퍼를 구현하는 방법을 소개 했으므로 이번에는 Kyverno를 구현하여 우리가 할 수있는 일을 살펴 보겠습니다.

준비

이제 확인을 준비하여 시작하겠습니다.
다음은이 테스트를 위해 미리 준비 할 것입니다.

K8S 클러스터
- K8S 환경의 모든 것이 괜찮습니다
- 이번에는 OpenShift 환경을 사용할 것입니다. 다른 환경을 사용하는 경우 kubectl 명령으로 교체하고 환경에 따라 확인하십시오.
헬름 설치
- Kyverno는 Helm을 통해 도입됩니다. Helm을 설치하십시오.

구현 우선

Kyverno를 OpenShift 환경에 배치하십시오.

1 단계. Helm 저장소를 추가하고 업데이트하십시오.

$ HELM Repo 추가 kyverno https://kyverno.github.io/kyverno/

2 단계. 네임 스페이스를 만들고 Kyverno를 배포합니다.

$ kubectl 생성 네임 스페이스 kyverno

3 단계. Kyverno 컨테이너가 시작되었는지 확인하십시오.

$ OC Get Pods -N Kyverno

구현이 완료되었습니다.

리뷰

필요한 개체를 먼저 소개합니다.

클러스터 정책
- K8S 리소스를 평가하는 정책을 정의합니다. 이 개체는 Yaml로 작성되었습니다.

OPA 게이트 키퍼와 달리 규칙을 시행하기 위해 하나의 객체 만 배포하면됩니다.

이 데모는 특정 레이블이없는 포드 배치를 금지하는 규칙을 시행합니다.

결과적으로, 나는 아래와 같이 Yaml을 만들 것을 요청 받았다.

Cluster-policy.yaml

즉시 배포를 시작하겠습니다.
먼저 Yaml 배포부터 시작하십시오.

$ OC Apply -F Cluster -Policy.yaml

채팅 GPT에서 만든 YAML을 사용하여 아무런 문제없이 배포 할 수있었습니다.

적절한 포드를 배포하십시오.

SET으로 APP : Test 용 레이블이 없기 때문에 배포 할 수 없습니다.

동일한 컨테이너 앱 제공 : 테스트 레이블

$ OC Run nginx --Image = nginx ---labels = "app = test"

앱 : 테스트 레이블을 주었을 때 예상대로 포드를 배포 할 수있었습니다.

마지막

이번에는 Kyverno를 소개했습니다. 정책 엔진 도구를 효과적으로 사용하면 이전에 수행했지만 할 수 없었던 보안 규칙을 만들 수 있습니다. 정책 엔진과 SysDig를 결합하면보다 안전한 K8S 환경을 만들 수 있으므로 관심이 있으시면 사용해보십시오. 보안 문의는이 웹 사이트의 문의 양식을 사용하십시오.

담당자 소개

담당자 이름: Kawasugi
댓글: 저는 주로 3 년 동안 컨테이너와 Kubernetes 필드에서 일하고 있습니다. 우리는 또한 컨테이너 기술에 대한 회사 내에서 인식을 높이는 것을 적극적으로 홍보하고 있습니다.
품질 유지: Certified Kubernetes 관리자
Certified Kubernetes 보안 전문가