pub/kyverno-2026-example
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

init

Browse Source
This commit is contained in:
Vassiliy Yegorov
2026-04-08 20:22:14 +07:00
commit 34fbdd1412
96 changed files with 5321 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

154
07-advanced/01-cicd/.github/workflows/policy-ci.yaml vendored Normal file
View File

@@ -0,0 +1,154 @@
name: Kyverno Policy CI
on:
pull_request:
branches:
- main
paths:
- 'policies/**'
- 'k8s/**'
- 'helm/**'
push:
branches:
- main
paths:
- 'policies/**'
jobs:
# -------------------------------------------------------
# JOB 1: Линтинг и тестирование политик
# -------------------------------------------------------
test-policies:
name: Test Kyverno Policies
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v4
- name: Install Kyverno CLI
uses: kyverno/action-install-cli@v0.2.0
with:
release: 'v1.11.4'
- name: Verify Kyverno CLI
run: kyverno version
- name: Lint policies (validate YAML structure)
run: |
find policies/ -name '*.yaml' -exec kubectl apply \
--dry-run=client -f {} \; 2>&1 | \
grep -v "^$" | \
tee lint-results.txt
# Завершиться с ошибкой если есть failures
grep -q "error\|Error" lint-results.txt && exit 1 || exit 0
- name: Run Kyverno tests
run: |
kyverno test policies/ \
--detailed-results \
2>&1 | tee test-results.txt
# Проверить что все тесты прошли
grep -q "Tests Summary" test-results.txt || exit 1
grep "Passed" test-results.txt
# Завершиться с ошибкой если есть Failed тесты
grep -q "^Failed: [^0]" test-results.txt && exit 1 || exit 0
- name: Upload test results
uses: actions/upload-artifact@v4
if: always()
with:
name: kyverno-test-results
path: test-results.txt
# -------------------------------------------------------
# JOB 2: Проверка Kubernetes манифестов против политик
# -------------------------------------------------------
validate-manifests:
name: Validate K8s Manifests
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v4
- name: Install Helm
uses: azure/setup-helm@v4
with:
version: 'v3.14.0'
- name: Install Kyverno CLI
uses: kyverno/action-install-cli@v0.2.0
with:
release: 'v1.11.4'
- name: Generate manifests from Helm
run: |
helm template my-app ./helm/my-app \
-f helm/my-app/values-production.yaml \
--namespace production \
> /tmp/rendered-manifests.yaml
- name: Validate manifests against policies
run: |
kyverno apply policies/ \
--resource /tmp/rendered-manifests.yaml \
--detailed-results \
--table \
2>&1 | tee kyverno-apply-results.txt
# Завершиться с ошибкой если есть FAIL
grep -q "^| FAIL" kyverno-apply-results.txt && exit 1 || exit 0
- name: Comment PR with violations
if: failure() && github.event_name == 'pull_request'
uses: actions/github-script@v7
with:
script: |
const fs = require('fs');
const results = fs.readFileSync('kyverno-apply-results.txt', 'utf8');
const body = `## ❌ Kyverno Policy Violations\n\n` +
`Следующие манифесты нарушают политики безопасности:\n\n` +
`\`\`\`\n${results}\`\`\`\n\n` +
`Исправьте нарушения перед merge.`;
github.rest.issues.createComment({
issue_number: context.issue.number,
owner: context.repo.owner,
repo: context.repo.repo,
body: body
});
# -------------------------------------------------------
# JOB 3: Деплой политик в staging (только main ветка)
# -------------------------------------------------------
deploy-staging:
name: Deploy Policies to Staging
runs-on: ubuntu-latest
needs: [test-policies, validate-manifests]
if: github.ref == 'refs/heads/main' && github.event_name == 'push'
environment: staging
steps:
- name: Checkout
uses: actions/checkout@v4
- name: Install Helm
uses: azure/setup-helm@v4
- name: Configure kubectl
run: |
echo "${{ secrets.STAGING_KUBECONFIG }}" | \
base64 -d > /tmp/kubeconfig
echo "KUBECONFIG=/tmp/kubeconfig" >> $GITHUB_ENV
- name: Deploy policies via Helm
run: |
helm upgrade --install kyverno-policies \
./05-variables/03-templates/kyverno-policies \
--namespace kyverno \
-f ./05-variables/03-templates/kyverno-policies/values-staging.yaml \
--wait \
--timeout 5m
- name: Verify deployment
run: |
kubectl get clusterpolicies \
-l helm.sh/chart=kyverno-policies-1.0.0 \
-o wide

153
07-advanced/01-cicd/README.md Normal file
View File

@@ -0,0 +1,153 @@
# Урок 7.1 — Интеграция с CI/CD пайплайнами
## Файлы
| Файл | Описание |
|------|----------|
| `.github/workflows/policy-ci.yaml` | GitHub Actions: тест + валидация + деплой |
| `argocd-application.yaml` | ArgoCD Application для GitOps деплоя |
## Kyverno CLI — локальная проверка
```bash
# Установка
brew install kyverno # macOS
# или
curl -LO https://github.com/kyverno/kyverno/releases/latest/download/kyverno-cli_linux_amd64.tar.gz
tar -xzf kyverno-cli_*.tar.gz && sudo mv kyverno /usr/local/bin/
kyverno version
# Проверить манифест против политики (без кластера)
kyverno apply \
../../02-validation/01-resource-validation/require-resource-limits.yaml \
--resource ../../02-validation/01-resource-validation/test-resources/pod-no-limits.yaml
# Проверить папку политик против папки манифестов
kyverno apply ../../02-validation/ \
--resource ./test-k8s-manifests/ \
--table \
--detailed-results
# Запустить тесты
kyverno test ../../02-validation/01-resource-validation/tests/
```
## Локальная симуляция CI pipeline
```bash
# 1. Сгенерировать манифесты из Helm
helm template my-app ./helm-chart/ \
-f ./helm-chart/values-production.yaml \
> /tmp/manifests.yaml
# 2. Запустить Kyverno проверку
kyverno apply ../../02-validation/ \
--resource /tmp/manifests.yaml \
--table 2>&1 | tee results.txt
# 3. Проверить наличие нарушений
if grep -q "^| FAIL" results.txt; then
echo "❌ Policy violations found!"
cat results.txt
exit 1
else
echo "✅ All policies passed"
fi
```
## Тестовые манифесты для CI
```bash
mkdir -p test-k8s-manifests
# Манифест с нарушениями — pipeline должен упасть
cat > test-k8s-manifests/bad-deployment.yaml <<EOF
apiVersion: apps/v1
kind: Deployment
metadata:
name: bad-app
namespace: default
spec:
replicas: 1
selector:
matchLabels:
app: bad-app
template:
metadata:
labels:
app: bad-app
spec:
containers:
- name: app
image: nginx:latest # нарушение: latest тег
# нет resources # нарушение: нет limits
EOF
# Запустить проверку — должна быть ошибка
kyverno apply ../../02-validation/ \
--resource test-k8s-manifests/bad-deployment.yaml \
--table
# Ожидаем: FAIL для disallow-latest-tag и require-resource-limits
```
## Настройка GitOps с ArgoCD
```bash
# Предварительно установите ArgoCD
kubectl create namespace argocd
kubectl apply -n argocd \
-f https://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml
# Применить Application
kubectl apply -f argocd-application.yaml
# Проверить статус синхронизации
kubectl get application kyverno-policies -n argocd
# Принудительная синхронизация
argocd app sync kyverno-policies
# История деплоев
argocd app history kyverno-policies
# Откат к предыдущей версии
argocd app rollback kyverno-policies 1
```
## CODEOWNERS для политик
```bash
# Создать файл для контроля ревью изменений в политиках
cat > .github/CODEOWNERS <<EOF
# Изменения в security политиках — обязательное ревью от security team
policies/02-validation/02-security/** @company/security-team
# Изменения в generation политиках — platform team
policies/04-generation/** @company/platform-team
# Helm chart — оба
policies/05-variables/03-templates/** @company/platform-team @company/security-team
EOF
```
## JUnit отчёт для CI систем
```bash
# Kyverno CLI может генерировать JUnit XML
kyverno test policies/ \
--junit-report kyverno-junit.xml
# GitLab CI — загрузка артефакта
# artifacts:
# reports:
# junit: kyverno-junit.xml
# GitHub Actions — публикация результатов
# uses: dorny/test-reporter@v1
# with:
# artifact: kyverno-junit
# name: Kyverno Tests
# path: kyverno-junit.xml
# reporter: java-junit
```

39
07-advanced/01-cicd/argocd-application.yaml Normal file
View File

@@ -0,0 +1,39 @@
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
name: kyverno-policies
namespace: argocd
annotations:
argocd.argoproj.io/sync-wave: "1" # применить после установки Kyverno (wave 0)
spec:
project: platform
source:
repoURL: https://github.com/company/platform-policies.git
targetRevision: main
path: 05-variables/03-templates/kyverno-policies
helm:
valueFiles:
- values.yaml
- values-production.yaml
destination:
server: https://kubernetes.default.svc
namespace: kyverno
syncPolicy:
automated:
prune: true # удалять политики удалённые из Git
selfHeal: true # восстанавливать при ручных изменениях
syncOptions:
- ServerSideApply=true # нужно для CRD-based ресурсов
- CreateNamespace=true
retry:
limit: 3
backoff:
duration: 30s
factor: 2
maxDuration: 3m
# Уведомления (если настроен argocd-notifications)
# Добавьте аннотации для Slack/Teams/Email нотификаций

172
07-advanced/02-external-data/README.md Normal file
View File

@@ -0,0 +1,172 @@
# Урок 7.2 — Работа с внешними данными и API
## Файлы
| Файл | Описание |
|------|----------|
| `check-image-vulnerabilities.yaml` | Проверка уязвимостей через внешний API |
| `external-data-cache.yaml` | ConfigMap + CronJob + RBAC для кэша внешних данных |
| `validate-registry-from-cache.yaml` | Валидация реестра через кэшированный ConfigMap |
## Паттерн 1: Прямой вызов внешнего API
```yaml
# Требует включения в Kyverno:
# admissionController.extraArgs:
# - --enableExternalDataCall=true
context:
- name: result
apiCall:
urlPath: "https://your-api.company.com/check"
method: POST
data:
- key: image
value: "{{ request.object.spec.containers[0].image }}"
jmesPath: "status"
```
### Включение external data calls
```bash
helm upgrade kyverno kyverno/kyverno \
--namespace kyverno \
--reuse-values \
--set admissionController.extraArgs="{--enableExternalDataCall=true}"
# Проверить
kubectl get deployment kyverno-admission-controller -n kyverno \
-o jsonpath='{.spec.template.spec.containers[0].args}' | \
grep enableExternalDataCall
```
## Паттерн 2: Кэш через ConfigMap (рекомендуется)
Прямые вызовы внешних API медленные и создают зависимость.
Лучший паттерн: CronJob обновляет ConfigMap → политика читает из ConfigMap.
```
Внешний API ──(каждые N минут)──► CronJob ──► ConfigMap
Kyverno политика ◄───┘
(кэш, быстро)
```
### Применение кэша
```bash
# Применить всё: ConfigMap + CronJob + RBAC
kubectl apply -f external-data-cache.yaml
# Проверить ConfigMap
kubectl get configmap external-data-cache -n kyverno -o yaml
# Запустить CronJob вручную для немедленного обновления
kubectl create job --from=cronjob/update-policy-cache \
manual-update -n kyverno
# Следить за логами
kubectl logs -n kyverno \
-l job-name=manual-update \
--follow
# Применить политику использующую кэш
kubectl apply -f validate-registry-from-cache.yaml
```
## Паттерн 3: HashiCorp Vault интеграция
```bash
# Проверить доступность Vault перед деплоем с Vault секретами
kubectl apply -f - <<EOF
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
name: check-vault-availability
spec:
rules:
- name: verify-vault-health
match:
resources:
kinds: [Pod]
preconditions:
any:
- key: "{{ request.object.metadata.annotations.\"vault.hashicorp.com/agent-inject\" }}"
operator: Equals
value: "true"
context:
- name: vaultHealth
apiCall:
urlPath: "https://vault.company.com:8200/v1/sys/health"
jmesPath: "initialized"
validate:
message: "Vault недоступен. Деплой с Vault секретами временно заблокирован."
deny:
conditions:
- key: "{{ vaultHealth }}"
operator: NotEquals
value: true
EOF
```
## Обработка недоступности внешнего API
```bash
# Fail-open vs Fail-closed
# Выбор зависит от критичности проверки
# Fail-open (разрешить если API недоступен):
# jmesPath: "result || 'ALLOWED'"
# deny если result == "DENIED"
# При недоступности: result = "ALLOWED" → под создаётся
# Fail-closed (запретить если API недоступен):
# jmesPath: "result || 'DENIED'"
# deny если result != "ALLOWED"
# При недоступности: result = "DENIED" → под НЕ создаётся
```
## Настройка timeout для внешних вызовов
```bash
# Webhook timeout влияет на все вызовы включая внешние API
helm upgrade kyverno kyverno/kyverno \
--namespace kyverno \
--reuse-values \
--set config.webhooks.timeoutSeconds=15
# По умолчанию 10 секунд. Увеличьте если внешний API медленный.
# Максимум — 30 секунд (ограничение Kubernetes).
```
## Мониторинг внешних вызовов
```bash
# Проверить что CronJob работает регулярно
kubectl get cronjobs -n kyverno
kubectl get jobs -n kyverno | grep update-policy-cache
# Последнее обновление кэша
kubectl get configmap external-data-cache -n kyverno \
-o jsonpath='{.data.last-updated}'
# Алерт если кэш устарел (добавьте в PrometheusRule)
# Используйте kube_configmap_info метрику и проверяйте
# что last-updated не старше N минут
```
## Безопасность при работе с внешними данными
```bash
# НЕ хардкодьте токены в политиках — используйте Secret
kubectl create secret generic external-api-token \
--from-literal=token=your-secret-token \
-n kyverno
# В политике читаем из Secret
# context:
# - name: apiToken
# apiCall:
# urlPath: "/api/v1/namespaces/kyverno/secrets/external-api-token"
# jmesPath: "data.token | base64_decode(@)"
```

54
07-advanced/02-external-data/check-image-vulnerabilities.yaml Normal file
View File

@@ -0,0 +1,54 @@
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
name: check-image-vulnerabilities
annotations:
policies.kyverno.io/title: "Проверка уязвимостей образов через внешний API"
policies.kyverno.io/category: Security
policies.kyverno.io/severity: critical
policies.kyverno.io/subject: Pod
policies.kyverno.io/description: >-
Проверяет образ контейнера через внешний vulnerability scanning API
перед деплоем в production. Блокирует деплой если найдены
критические уязвимости.
НАСТРОЙТЕ URL вашего сканера (Trivy, Snyk, Grype и т.д.)
Требует: admissionController.extraArgs: [--enableExternalDataCall=true]
spec:
validationFailureAction: Enforce
background: false # только для живых запросов, не background scan
rules:
- name: check-critical-vulnerabilities
match:
resources:
kinds:
- Pod
namespaces:
- production
preconditions:
any:
- key: "{{ request.operation }}"
operator: In
value: [CREATE, UPDATE]
context:
- name: scanResult
apiCall:
# Замените на URL вашего vulnerability API
urlPath: "https://vuln-api.company.com/v1/scan"
method: POST
data:
- key: image
value: "{{ request.object.spec.containers[0].image }}"
- key: severity
value: CRITICAL
jmesPath: "critical_count || `0`"
validate:
message: >-
Образ '{{ request.object.spec.containers[0].image }}'
содержит {{ scanResult }} критических уязвимостей.
Деплой в production запрещён.
Обновите базовый образ и пересоберите: https://vuln-api.company.com/report
deny:
conditions:
- key: "{{ scanResult }}"
operator: GreaterThan
value: "0"

105
07-advanced/02-external-data/external-data-cache.yaml Normal file
View File

@@ -0,0 +1,105 @@
apiVersion: v1
kind: ConfigMap
metadata:
name: external-data-cache
namespace: kyverno
labels:
app: kyverno-config
data:
# Список разрешённых реестров (обновляется CronJob)
allowed-registries: |
registry.company.com
gcr.io/company-project
public.ecr.aws/company
# Список одобренных StorageClass
approved-storage-classes: |
standard-ssd
premium-ssd
backup-hdd
# Последнее обновление (проставляется CronJob)
last-updated: "2024-01-01T00:00:00Z"
---
apiVersion: batch/v1
kind: CronJob
metadata:
name: update-policy-cache
namespace: kyverno
annotations:
description: >-
Обновляет ConfigMap external-data-cache данными из внешних API.
Позволяет политикам использовать актуальные данные без прямых apiCall
к внешним сервисам на каждый запрос.
spec:
schedule: "*/10 * * * *" # каждые 10 минут
concurrencyPolicy: Forbid
jobTemplate:
spec:
template:
spec:
serviceAccountName: policy-cache-updater
restartPolicy: OnFailure
containers:
- name: cache-updater
image: bitnami/kubectl:1.28
env:
- name: EXTERNAL_API_URL
value: "https://api.company.com/v1"
- name: CONFIGMAP_NAME
value: "external-data-cache"
- name: NAMESPACE
value: "kyverno"
command:
- /bin/bash
- -c
- |
set -e
echo "Fetching allowed registries from external API..."
# В реальности заменить на curl к вашему API
REGISTRIES=$(echo -e "registry.company.com\ngcr.io/company-project")
echo "Updating ConfigMap..."
kubectl patch configmap ${CONFIGMAP_NAME} \
-n ${NAMESPACE} \
--type merge \
-p "{\"data\":{
\"allowed-registries\": \"${REGISTRIES}\",
\"last-updated\": \"$(date -u +%Y-%m-%dT%H:%M:%SZ)\"
}}"
echo "Cache updated successfully"
resources:
limits:
cpu: 100m
memory: 64Mi
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: policy-cache-updater
namespace: kyverno
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: configmap-updater
namespace: kyverno
rules:
- apiGroups: [""]
resources: ["configmaps"]
resourceNames: ["external-data-cache"]
verbs: ["get", "patch", "update"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: policy-cache-updater
namespace: kyverno
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: configmap-updater
subjects:
- kind: ServiceAccount
name: policy-cache-updater
namespace: kyverno

54
07-advanced/02-external-data/validate-registry-from-cache.yaml Normal file
View File

@@ -0,0 +1,54 @@
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
name: validate-registry-from-cache
annotations:
policies.kyverno.io/title: "Проверка реестра через кэшированные данные"
policies.kyverno.io/category: Security
policies.kyverno.io/severity: high
policies.kyverno.io/subject: Pod
policies.kyverno.io/description: >-
Проверяет образ контейнера против списка разрешённых реестров,
хранящегося в ConfigMap external-data-cache.
Список обновляется каждые 10 минут CronJob из внешнего API.
Паттерн "кэш в ConfigMap" — быстрее чем прямые apiCall к внешним API.
spec:
validationFailureAction: Enforce
background: true
rules:
- name: check-registry-from-cache
match:
resources:
kinds:
- Pod
exclude:
resources:
namespaces:
- kube-system
- kyverno
context:
- name: allowedRegistries
configMap:
name: external-data-cache
namespace: kyverno
validate:
message: >-
Образ '{{ element.image }}' из недоверенного реестра.
Список разрешённых реестров (обновлён {{ allowedRegistries.data.\"last-updated\" }}):
{{ allowedRegistries.data.\"allowed-registries\" }}
foreach:
- list: >-
request.object.spec.containers[] |
merge(request.object.spec.initContainers[] || `[]`, @)
deny:
conditions:
all:
- key: "{{ element.image }}"
operator: NotStartsWith
value: "registry.company.com/"
- key: "{{ element.image }}"
operator: NotStartsWith
value: "gcr.io/company-project/"
- key: "{{ element.image }}"
operator: NotStartsWith
value: "public.ecr.aws/company/"