pub/kyverno-2026-example
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

fix foreach

Browse Source
This commit is contained in:
Vassiliy Yegorov
2026-05-19 17:16:39 +07:00
parent e995770695
commit f980b651d9
11 changed files with 37 additions and 29 deletions
Download Patch File Download Diff File Expand all files Collapse all files
02-validation/01-resource-validation/1. require-resource-limits.yaml
+3 -3
View File
@@ -26,14 +26,14 @@ spec:
- kube-system
- kyverno
validate:
message: >-
Все контейнеры в поде '{{ request.object.metadata.name }}'
обязаны иметь resources.limits.memory и resources.limits.cpu.
foreach:
- list: >-
request.object.spec.containers[] |
merge(request.object.spec.initContainers[] || `[]`, @) |
merge(request.object.spec.ephemeralContainers[] || `[]`, @)
message: >-
Контейнер '{{ element.name }}' в поде '{{ request.object.metadata.name }}'
не имеет resource limits. Добавьте resources.limits.memory и resources.limits.cpu.
pattern:
resources:
limits:
02-validation/01-resource-validation/3. disallow-latest-tag.yaml
+3 -3
View File
@@ -25,14 +25,14 @@ spec:
namespaces:
- kube-system
validate:
message: >-
Один из образов в поде '{{ request.object.metadata.name }}' использует
тег :latest или не имеет тега. Используйте конкретный тег или digest.
foreach:
- list: >-
request.object.spec.containers[] |
merge(request.object.spec.initContainers[] || `[]`, @) |
merge(request.object.spec.ephemeralContainers[] || `[]`, @)
message: >-
Образ '{{ element.image }}' использует тег :latest или не имеет тега.
Используйте конкретный тег (nginx:1.25.3) или digest (nginx@sha256:...).
deny:
conditions:
any:
02-validation/01-resource-validation/4. allow-only-trusted-registries.yaml
+3 -4
View File
@@ -27,15 +27,14 @@ spec:
- kube-system
- kyverno
validate:
message: >-
Один из образов в поде '{{ request.object.metadata.name }}' из недоверенного реестра.
Разрешены: registry.company.com/, gcr.io/company-project/.
foreach:
- list: >-
request.object.spec.containers[] |
merge(request.object.spec.initContainers[] || `[]`, @) |
merge(request.object.spec.ephemeralContainers[] || `[]`, @)
message: >-
Образ '{{ element.image }}' из недоверенного реестра.
Разрешены: registry.company.com/, gcr.io/company-project/.
Загрузите образ в внутренний реестр и обновите манифест.
deny:
conditions:
all: