init

04-generation/01-configmaps-secrets/generate-default-networkpolicy.yaml

@@ -0,0 +1,51 @@
+apiVersion: kyverno.io/v1
+kind: ClusterPolicy
+metadata:
+  name: generate-default-networkpolicy
+  annotations:
+    policies.kyverno.io/title: "Генерация NetworkPolicy по умолчанию"
+    policies.kyverno.io/category: Security
+    policies.kyverno.io/severity: high
+    policies.kyverno.io/subject: Namespace
+    policies.kyverno.io/description: >-
+      При создании Namespace автоматически создаёт NetworkPolicy
+      "запрети весь трафик по умолчанию". Zero Trust сетевая модель:
+      команды явно разрешают нужный трафик поверх этой базовой политики.
+spec:
+  rules:
+  - name: generate-deny-all-networkpolicy
+    match:
+      resources:
+        kinds:
+        - Namespace
+    exclude:
+      resources:
+        names:
+        - kube-system
+        - kube-public
+        - kube-node-lease
+        - kyverno
+        - monitoring
+        - logging
+    generate:
+      apiVersion: networking.k8s.io/v1
+      kind: NetworkPolicy
+      name: default-deny-all
+      namespace: "{{ request.object.metadata.name }}"
+      synchronize: true
+      data:
+        kind: NetworkPolicy
+        apiVersion: networking.k8s.io/v1
+        metadata:
+          name: default-deny-all
+          labels:
+            generated-by: kyverno
+          annotations:
+            description: >-
+              Запрещает весь входящий и исходящий трафик по умолчанию.
+              Добавьте явные NetworkPolicy для разрешения нужного трафика.
+        spec:
+          podSelector: {}       # применяется ко всем подам
+          policyTypes:
+          - Ingress
+          - Egress