# Урок 5.2 — Контекстные данные и информация о кластере

## Файлы

| Файл | Описание |
|------|----------|
| `deployment-freeze-config.yaml` | ConfigMap для управления freeze |
| `restrict-deploys-during-freeze.yaml` | Блокировка деплоев во время freeze |
| `restrict-privileged-non-admins.yaml` | Привилегии только для admin-групп |

## Применение

```bash
kubectl apply -f deployment-freeze-config.yaml
kubectl apply -f restrict-deploys-during-freeze.yaml
kubectl apply -f restrict-privileged-non-admins.yaml
```

## Тест deployment freeze

```bash
# Убедиться что freeze выключен
kubectl get configmap deployment-freeze-config -n kyverno \
  -o jsonpath='{.data.freeze_active}'
# Должно быть: false

# Создать тестовый deployment — должен пройти
kubectl create deployment test-deploy \
  --image=nginx:1.25.3 --replicas=1

# Активировать freeze
kubectl patch configmap deployment-freeze-config -n kyverno \
  --type merge \
  -p '{"data":{"freeze_active":"true"}}'

# Подождать обновления кэша (~60 сек), затем попробовать деплой
kubectl create deployment blocked-deploy \
  --image=nginx:1.25.3 --replicas=1
# Ожидаем ошибку: Деплойменты заморожены...

# Деактивировать freeze
kubectl patch configmap deployment-freeze-config -n kyverno \
  --type merge \
  -p '{"data":{"freeze_active":"false"}}'

# Уборка
kubectl delete deployment test-deploy 2>/dev/null || true
```

## Доступные контекстные данные запроса

```yaml
# Информация о ресурсе
request.object.metadata.name
request.object.metadata.namespace
request.object.metadata.labels
request.object.metadata.annotations

# Информация об операции
request.operation          # CREATE | UPDATE | DELETE | CONNECT
request.dryRun             # true при --dry-run=server

# Старый объект (только при UPDATE)
request.oldObject.spec.replicas

# Информация о пользователе
request.userInfo.username
request.userInfo.uid
request.userInfo.groups    # список групп
request.userInfo.extra     # дополнительные атрибуты

# Пример: разные правила для CREATE vs UPDATE
preconditions:
  any:
  - key: "{{ request.operation }}"
    operator: Equals
    value: CREATE
```

## Тест userInfo — проверка групп

```bash
# Посмотреть свои группы в кластере
kubectl auth whoami

# Попробовать создать привилегированный под (должен быть отклонён)
kubectl apply -f - <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: test-privileged
  namespace: default
spec:
  containers:
  - name: app
    image: nginx:1.25.3
    securityContext:
      privileged: true
    resources:
      limits:
        memory: "128Mi"
        cpu: "100m"
EOF
# Ожидаем: error... не имеет права создавать привилегированные контейнеры
```

## Cross-resource проверка через apiCall

```yaml
# Читаем лейблы namespace во время обработки Pod запроса
context:
- name: nsLabels
  apiCall:
    urlPath: "/api/v1/namespaces/{{ request.object.metadata.namespace }}"
    jmesPath: "metadata.labels"

# Читаем список всех Deployments в namespace
context:
- name: existingDeployments
  apiCall:
    urlPath: "/apis/apps/v1/namespaces/{{ request.object.metadata.namespace }}/deployments"
    jmesPath: "items[].metadata.name"

# ВАЖНО: каждый apiCall = HTTP запрос к API Server.
# Используйте с умом — это влияет на латентность admission.
# Для часто используемых данных предпочитайте ConfigMap.
```