init

01-introduction/03-policy-structure/README.md

@@ -0,0 +1,56 @@
+# Урок 1.3 — Структура и синтаксис политик Kyverno
+
+## Анатомия политики
+
+Откройте `annotated-policy.yaml` — в нём каждое поле прокомментировано.
+
+## Операторы в паттернах
+
+| Оператор | Значение | Пример |
+|----------|----------|--------|
+| `?*` | поле существует и не пустое | `app: "?*"` |
+| `*` | wildcard, любое значение | `image: "*.azurecr.io/*"` |
+| `^(a\|b)$` | регулярное выражение | `env: "^(dev\|staging\|production)$"` |
+| `>=2` | числовое сравнение | `replicas: ">=2"` |
+| `=(field)` | опциональное поле | `=(privileged): false` |
+| `+(field)` | добавить только если нет (в mutate) | `+(label): value` |
+
+## Структура match
+
+```yaml
+match:
+  any:                    # ИЛИ — любое из условий
+  - resources:
+      kinds: [Pod]
+      namespaces: [production]
+  all:                    # И — все условия одновременно
+  - resources:
+      kinds: [Deployment]
+  - subjects:
+    - kind: ServiceAccount
+      name: my-sa
+```
+
+## Практические задания
+
+```bash
+# 1. Изучить структуру политики
+cat annotated-policy.yaml
+
+# 2. Применить политику
+kubectl apply -f annotated-policy.yaml
+
+# 3. Протестировать через kyverno CLI без кластера
+kyverno apply annotated-policy.yaml --resource test-resources/pod-good.yaml
+kyverno apply annotated-policy.yaml --resource test-resources/pod-bad.yaml
+
+# 4. Применить тестовые ресурсы в кластер
+kubectl apply -f test-resources/
+
+# 5. Посмотреть результаты в PolicyReport
+kubectl get policyreports -n default -o yaml
+
+# 6. Удалить ресурсы
+kubectl delete -f test-resources/
+kubectl delete -f annotated-policy.yaml
+```

01-introduction/03-policy-structure/annotated-policy.yaml

@@ -0,0 +1,68 @@
+apiVersion: kyverno.io/v1
+kind: ClusterPolicy              # ClusterPolicy = все namespace, Policy = один namespace
+metadata:
+  name: annotated-example-policy
+  annotations:
+    # Мета-информация для Kyverno UI и PolicyReport
+    policies.kyverno.io/title: "Пример структуры политики"
+    policies.kyverno.io/category: "Best Practices"
+    policies.kyverno.io/severity: medium          # critical | high | medium | low
+    policies.kyverno.io/subject: "Pod"
+    policies.kyverno.io/description: >-
+      Пример политики с подробными комментариями.
+      Требует наличия лейбла app у всех Podов.
+    policies.kyverno.io/version: "1.0.0"
+spec:
+  # Enforce = отклонять запросы при нарушении
+  # Audit   = пропускать, но фиксировать в PolicyReport
+  validationFailureAction: Audit
+
+  # true = проверять также уже существующие ресурсы (через background controller)
+  background: true
+
+  rules:
+  - name: require-app-label          # уникальное имя правила внутри политики
+
+    # match: к каким ресурсам применяется правило
+    match:
+      any:                           # ИЛИ: ресурс попадает хотя бы под одно условие
+      - resources:
+          kinds:
+          - Pod
+          namespaces:
+          - default
+          - production
+          - staging
+
+    # exclude: ресурсы-исключения (не будут проверяться)
+    exclude:
+      resources:
+        namespaces:
+        - kube-system
+        - kyverno
+        selector:
+          matchLabels:
+            kyverno.io/skip-validation: "true"
+
+    # preconditions: дополнительные условия применения правила
+    # (match фильтрует по типу, preconditions — по содержимому)
+    preconditions:
+      any:
+      - key: "{{ request.operation }}"
+        operator: In
+        value: ["CREATE", "UPDATE"]  # не проверять DELETE
+
+    # validate: правило проверки
+    validate:
+      # Сообщение об ошибке (поддерживает переменные)
+      message: >-
+        Pod '{{ request.object.metadata.name }}'
+        в namespace '{{ request.object.metadata.namespace }}'
+        должен иметь лейбл 'app'.
+        Добавьте: metadata.labels.app: <имя-приложения>
+
+      # pattern: описание того, как должен выглядеть ресурс
+      pattern:
+        metadata:
+          labels:
+            app: "?*"    # поле должно существовать и быть не пустым

01-introduction/03-policy-structure/test-resources/pod-bad.yaml

@@ -0,0 +1,10 @@
+apiVersion: v1
+kind: Pod
+metadata:
+  name: pod-bad
+  namespace: default
+  # нет лейбла app — политика зафиксирует нарушение
+spec:
+  containers:
+  - name: nginx
+    image: nginx:1.25

01-introduction/03-policy-structure/test-resources/pod-good.yaml

@@ -0,0 +1,11 @@
+apiVersion: v1
+kind: Pod
+metadata:
+  name: pod-good
+  namespace: default
+  labels:
+    app: my-application   # лейбл присутствует — политика пропустит
+spec:
+  containers:
+  - name: nginx
+    image: nginx:1.25