Облачная платформа

К разделу «Облачная платформа

Облачные ресурсы IaaS
Облачные ресурсы IaaS
Облачная платформа на базе собственных дата-центров уровня TIER III
Ускоренные вычисления на базе NVIDIA GPU
Ускоренные вычисления на базе NVIDIA GPU
Для сложных вычислений, машинного обучения и обработки видео/3D-графики
Частное облако
Частное облако
Защищенное частное облако (УЗ-1, К-1, лицензии ФСБ и ФСТЭК)
Кластеры Kubernetes
Кластеры Kubernetes
Развертывание, масштабирование, репликация и мониторинг контейнерных приложений
Защищенное облако 152-ФЗ
Защищенное облако 152-ФЗ
Размещение конфиденциальных данных в защищенной инфраструктуре и аудит работы с персональными данными
Резервное копирование для бизнеса
Резервное копирование для бизнеса
Автоматизированное управление резервными копиями виртуальных машин и баз данных
База данных в облаке
База данных в облаке
Управляемые СУБД с масштабированием по мере необходимости и высоким SLA
Миграция в облако Linx Cloud
Миграция в облако Linx Cloud
Перенос IT-инфраструктуры в облако Linx Cloud из других платформ
Объектное хранилище S3
Объектное хранилище S3
Защищенное объектное хранилище S3 по стандартам 152-ФЗ на платформе Linx Cloud
Облако для ВУЗов
Облако для ВУЗов
25% скидка на облачные сервисы от цены прайса на год!
Безопасность

К разделу «Безопасность

Статический анализ исходного кода SAST
Статический анализ исходного кода SAST
Облачный сервис для защиты приложений на этапе разработки исходного кода
Двухфакторная аутентификация MFA
Двухфакторная аутентификация MFA
Удаленный доступ – легко и безопасно. Сервис MFA подходит для любого типа инфраструктуры
Облачная защита WAF + AntiDDoS
Облачная защита WAF + AntiDDoS
Многоуровневая защита интернет-ресурсов и веб-приложений с минимальными вложениями
Аварийное восстановление в AWS
Аварийное восстановление в AWS
Быстрое и экономичное восстановление данных и приложений. RPO — секунды, RTO — минуты
DRaaS — аварийное восстановление
DRaaS — аварийное восстановление
Аварийное восстановление ИТ-инфраструктуры. Защитите ИТ-системы уже сегодня!
Межсетевой экран нового поколения NGFW
Межсетевой экран нового поколения NGFW
Виртуальный межсетевой экран нового поколения для комплексной защиты ресурсов в облаке
Антивирус
Антивирус
Защита инфраструктуры от вирусов и шифровальщиков
Сканирование на уязвимости
Сканирование на уязвимости
Мониторинг и оценка уязвимостей ИТ-инфраструктуры
Security Operations Center (SOC)
Security Operations Center (SOC)
Центр противодействия кибератакам на любом этапе инцидента
ГОСТ-VPN
ГОСТ-VPN
Защищенный канал связи для ИСПДн
Межсетевой экран
Межсетевой экран
Защита сети компании от несанкционированного доступа извне
Аттестация частного облака для ГИС
Аттестация частного облака для ГИС
Размещение госинформационных систем «под ключ» с соблюдением К1 и УЗ-1 (ИСПДн)
Security Awareness
Security Awareness
Обучение сотрудников навыкам информационной безопасности на базе онлайн-платформы
Тарифы База знаний
Облако
Использование политик Gatekeeper

Использование политик Gatekeeper

Шаблоны ограничений

Перед началом использования ограничений нужно создать шаблон политики (ConstraintTemplate). Шаблон политики позволяет администраторам настроить поведение политик как аргументы у функций. Библиотека уже настроенных ограничений и шаблонов ограничений доступна по ссылке.


Ниже приведен пример шаблона политик, который требует наличие указанных меток:

1apiVersion: templates.gatekeeper.sh/v1beta1

2kind: ConstraintTemplate

3metadata:

4 name: k8srequiredlabels

5spec:

6 crd:

7 spec:

8 names:

9 kind: K8sRequiredLabels

10 validation:

11 openAPIV3Schema:

12 properties:

13 labels:

14 type: array

15 items: string

16 targets:

17 - target: admission.k8s.gatekeeper.sh

18 rego: |

19 package k8srequiredlabels

20 

21 violation[{"msg": msg, "details": {"missing_labels": missing}}] {

22 provided := {label | input.review.object.metadata.labels[label]}

23 required := {label | label := input.parameters.labels[_]}

24 missing := required - provided

25 count(missing) > 0

26 msg := sprintf("you must provide labels: %v", [missing])

27 }


Чтобы установить шаблон ограничений, выполните команду:





                    

Посмотреть существующие в кластере шаблоны можно по команде:





                    

Для просмотра детальной информации по определенному шаблону ограничений выполните команду:





                    
Ограничения

Ограничения (constraints) используются для применения 





                    

. Нижеприведенное ограничение использует 





                    

 и требует указание метки (label) gatekeeper для всех пространств имен (namespace).

1apiVersion: constraints.gatekeeper.sh/v1beta1

2kind: K8sRequiredLabels

3metadata:

4 name: ns-must-have-gk

5spec:

6 match:

7 kinds:

8 - apiGroups: [""]

9 kinds: ["Namespace"]

10 parameters:

11 labels: ["gatekeeper"]

Вы можете установить ограничения с помощью команды:





                    

Чтобы посмотреть существующие ограничения в кластере, выполните команду:





                    

Для просмотра детальной информации по определенному ограничению выполните следующую команду:





                    
Поля сопоставлений

Поле 





                    

 указывает границы применения ограничений к объектам. Поддерживаются следующие поля:





                    

 принимает лист объектов с полями 





                    

 и 





                    

. В них перечислены группы/виды объектов, к которым будет применяться ограничение. Если указано несколько объектов групп/видов, чтобы ресурс находился в области применения, требуется только одно совпадение.





                    

 определяет, совпадают ли ресурсы с областью кластера и/или с пространством имен. Используются 





                    

 (по умолчанию), 





                    





                    

.





                    

 — список имен. Если указано, то ограничения применяются только к ресурсам в указанных пространствах имен. Поддерживаются префиксы имен. Например, 





                    

 соответствует 





                    

 и





                    

.





                    

 — список имен namespaces. Если указано, то ограничения применяются только к ресурсам, не относящимся к этим пространствам имен. Поддерживаются префиксы имен. Например, 





                    

 соответствует





                    

 и





                    

.





                    

 — is the combination of two optional fields: 





                    

 и 





                    

. Эти два поля предоставляют разные методы выбора или исключения объектов Kubernetes на основе ключей и значений меток, включенных в метаданные объекта.






                    

 является селектором меток для пространства имен, содержащего объект, или самого объекта, если объект является пространством имен.





                    

 — имя объекта.

Поле PARAMETERS




                    

 описывает назначение ограничения. На него можно ссылаться как на 





                    

 в исходном коде Rego ConstraintTemplate. Gatekeeper заполняет 





                    

 значениями, переданными в поле 





                    

в файле Constraint.


Пример:

rego: |

        package k8srequiredlabels


        violation[{"msg": msg, "details": {"missing_labels": missing}}] {

          provided := {label | input.review.object.metadata.labels[label]}

          required := {label | label := input.parameters.labels[_]}

          missing := required - provided

          count(missing) > 0

          msg := sprintf("you must provide labels: %v", [missing])

        }

Схема для входных параметров Constraint определяется в файле ConstraintTemplate. Сервер API отклонит Constraint с некорректным полем параметров, если типы данных не совпадают.


Пример:

# Apply the Constraint with incorrect parameters schema

$ cat << EOF | kubectl apply -f -

apiVersion: constraints.gatekeeper.sh/v1beta1

kind: K8sRequiredLabels

metadata:

  name: ns-must-have-gk

spec:

  match:

    kinds:

      - apiGroups: [""]

        kinds: ["Namespace"]

  parameters:

    # Note that "labels" is now an array item, rather than an object

    - labels: ["gatekeeper"]

EOF

The K8sRequiredLabels "ns-must-have-gk" is invalid: spec.parameters: Invalid value: "array": spec.parameters in body must be of type object: "array"

Поле ENFORCEMENTACTION

Поле 





                    

 определяет действие для обработки нарушений Constraint. По умолчанию, для 





                    

 установлено значение 





                    

, поскольку поведение по умолчанию — отклонять запросы на допуск с любым нарушением. Другие поддерживаемые значения включают пробный запуск (





                    

) и предупреждение(





                    

).

Было полезно?

Остались вопросы?

Опишите вашу задачу, и мы поможем вам ее решить

Или напишите нам info@linxdatacenter.com
Нажимая кнопку «Отправить», вы соглашаетесь с Политикой обработки персональных данных ООО «Связь ВСД»