apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: generate-default-networkpolicy
  annotations:
    policies.kyverno.io/title: "Генерация NetworkPolicy по умолчанию"
    policies.kyverno.io/category: Security
    policies.kyverno.io/severity: high
    policies.kyverno.io/subject: Namespace
    policies.kyverno.io/description: >-
      При создании Namespace автоматически создаёт NetworkPolicy
      "запрети весь трафик по умолчанию". Zero Trust сетевая модель:
      команды явно разрешают нужный трафик поверх этой базовой политики.
spec:
  rules:
  - name: generate-deny-all-networkpolicy
    match:
      resources:
        kinds:
        - Namespace
    exclude:
      resources:
        names:
        - kube-system
        - kube-public
        - kube-node-lease
        - kyverno
        - monitoring
        - logging
    generate:
      apiVersion: networking.k8s.io/v1
      kind: NetworkPolicy
      name: default-deny-all
      namespace: "{{ request.object.metadata.name }}"
      synchronize: true
      data:
        kind: NetworkPolicy
        apiVersion: networking.k8s.io/v1
        metadata:
          name: default-deny-all
          labels:
            generated-by: kyverno
          annotations:
            description: >-
              Запрещает весь входящий и исходящий трафик по умолчанию.
              Добавьте явные NetworkPolicy для разрешения нужного трафика.
        spec:
          podSelector: {}       # применяется ко всем подам
          policyTypes:
          - Ingress
          - Egress