fix pols for 1.18

2026-05-14 18:55:39 +07:00
parent 5578400e7f
commit ffa61ab646
19 changed files with 266 additions and 180 deletions
@@ -27,25 +27,23 @@ spec:
        - kube-system
        - kyverno
    validate:
-      message: >-
-        Образ '{{ element.image }}' из недоверенного реестра.
-        Разрешены только:
-          - registry.company.com/
-          - gcr.io/company-project/
-        Загрузите образ в внутренний реестр и обновите манифест.
      foreach:
      - list: >-
          request.object.spec.containers[] |
-          merge(request.object.spec.initContainers[] || `[]`, @)
+          merge(request.object.spec.initContainers[] || `[]`, @) |
+          merge(request.object.spec.ephemeralContainers[] || `[]`, @)
+        message: >-
+          Образ '{{ element.image }}' из недоверенного реестра.
+          Разрешены: registry.company.com/, gcr.io/company-project/.
+          Загрузите образ в внутренний реестр и обновите манифест.
        deny:
          conditions:
            all:
-            # Образ НЕ из первого доверенного реестра
-            - key: "{{ element.image }}"
-              operator: NotStartsWith
-              value: "registry.company.com/"
-            # И НЕ из второго доверенного реестра
-            - key: "{{ element.image }}"
-              operator: NotStartsWith
-              value: "gcr.io/company-project/"
+            # regex_match: false = образ НЕ начинается с доверенного реестра
+            - key: "{{ regex_match('^registry\\.company\\.com/', element.image) }}"
+              operator: Equals
+              value: false
+            - key: "{{ regex_match('^gcr\\.io/company-project/', element.image) }}"
+              operator: Equals
+              value: false
            # Добавьте дополнительные условия по аналогии