173 lines
5.6 KiB
Markdown
173 lines
5.6 KiB
Markdown
# Урок 7.2 — Работа с внешними данными и API
|
|
|
|
## Файлы
|
|
|
|
| Файл | Описание |
|
|
|------|----------|
|
|
| `check-image-vulnerabilities.yaml` | Проверка уязвимостей через внешний API |
|
|
| `external-data-cache.yaml` | ConfigMap + CronJob + RBAC для кэша внешних данных |
|
|
| `validate-registry-from-cache.yaml` | Валидация реестра через кэшированный ConfigMap |
|
|
|
|
## Паттерн 1: Прямой вызов внешнего API
|
|
|
|
```yaml
|
|
# Требует включения в Kyverno:
|
|
# admissionController.extraArgs:
|
|
# - --enableExternalDataCall=true
|
|
|
|
context:
|
|
- name: result
|
|
apiCall:
|
|
urlPath: "https://your-api.company.com/check"
|
|
method: POST
|
|
data:
|
|
- key: image
|
|
value: "{{ request.object.spec.containers[0].image }}"
|
|
jmesPath: "status"
|
|
```
|
|
|
|
### Включение external data calls
|
|
|
|
```bash
|
|
helm upgrade kyverno kyverno/kyverno \
|
|
--namespace kyverno \
|
|
--reuse-values \
|
|
--set admissionController.extraArgs="{--enableExternalDataCall=true}"
|
|
|
|
# Проверить
|
|
kubectl get deployment kyverno-admission-controller -n kyverno \
|
|
-o jsonpath='{.spec.template.spec.containers[0].args}' | \
|
|
grep enableExternalDataCall
|
|
```
|
|
|
|
## Паттерн 2: Кэш через ConfigMap (рекомендуется)
|
|
|
|
Прямые вызовы внешних API медленные и создают зависимость.
|
|
Лучший паттерн: CronJob обновляет ConfigMap → политика читает из ConfigMap.
|
|
|
|
```
|
|
Внешний API ──(каждые N минут)──► CronJob ──► ConfigMap
|
|
│
|
|
Kyverno политика ◄───┘
|
|
(кэш, быстро)
|
|
```
|
|
|
|
### Применение кэша
|
|
|
|
```bash
|
|
# Применить всё: ConfigMap + CronJob + RBAC
|
|
kubectl apply -f external-data-cache.yaml
|
|
|
|
# Проверить ConfigMap
|
|
kubectl get configmap external-data-cache -n kyverno -o yaml
|
|
|
|
# Запустить CronJob вручную для немедленного обновления
|
|
kubectl create job --from=cronjob/update-policy-cache \
|
|
manual-update -n kyverno
|
|
|
|
# Следить за логами
|
|
kubectl logs -n kyverno \
|
|
-l job-name=manual-update \
|
|
--follow
|
|
|
|
# Применить политику использующую кэш
|
|
kubectl apply -f validate-registry-from-cache.yaml
|
|
```
|
|
|
|
## Паттерн 3: HashiCorp Vault интеграция
|
|
|
|
```bash
|
|
# Проверить доступность Vault перед деплоем с Vault секретами
|
|
kubectl apply -f - <<EOF
|
|
apiVersion: kyverno.io/v1
|
|
kind: ClusterPolicy
|
|
metadata:
|
|
name: check-vault-availability
|
|
spec:
|
|
rules:
|
|
- name: verify-vault-health
|
|
match:
|
|
resources:
|
|
kinds: [Pod]
|
|
preconditions:
|
|
any:
|
|
- key: "{{ request.object.metadata.annotations.\"vault.hashicorp.com/agent-inject\" }}"
|
|
operator: Equals
|
|
value: "true"
|
|
context:
|
|
- name: vaultHealth
|
|
apiCall:
|
|
urlPath: "https://vault.company.com:8200/v1/sys/health"
|
|
jmesPath: "initialized"
|
|
validate:
|
|
message: "Vault недоступен. Деплой с Vault секретами временно заблокирован."
|
|
deny:
|
|
conditions:
|
|
- key: "{{ vaultHealth }}"
|
|
operator: NotEquals
|
|
value: true
|
|
EOF
|
|
```
|
|
|
|
## Обработка недоступности внешнего API
|
|
|
|
```bash
|
|
# Fail-open vs Fail-closed
|
|
# Выбор зависит от критичности проверки
|
|
|
|
# Fail-open (разрешить если API недоступен):
|
|
# jmesPath: "result || 'ALLOWED'"
|
|
# deny если result == "DENIED"
|
|
# При недоступности: result = "ALLOWED" → под создаётся
|
|
|
|
# Fail-closed (запретить если API недоступен):
|
|
# jmesPath: "result || 'DENIED'"
|
|
# deny если result != "ALLOWED"
|
|
# При недоступности: result = "DENIED" → под НЕ создаётся
|
|
```
|
|
|
|
## Настройка timeout для внешних вызовов
|
|
|
|
```bash
|
|
# Webhook timeout влияет на все вызовы включая внешние API
|
|
helm upgrade kyverno kyverno/kyverno \
|
|
--namespace kyverno \
|
|
--reuse-values \
|
|
--set config.webhooks.timeoutSeconds=15
|
|
|
|
# По умолчанию 10 секунд. Увеличьте если внешний API медленный.
|
|
# Максимум — 30 секунд (ограничение Kubernetes).
|
|
```
|
|
|
|
## Мониторинг внешних вызовов
|
|
|
|
```bash
|
|
# Проверить что CronJob работает регулярно
|
|
kubectl get cronjobs -n kyverno
|
|
kubectl get jobs -n kyverno | grep update-policy-cache
|
|
|
|
# Последнее обновление кэша
|
|
kubectl get configmap external-data-cache -n kyverno \
|
|
-o jsonpath='{.data.last-updated}'
|
|
|
|
# Алерт если кэш устарел (добавьте в PrometheusRule)
|
|
# Используйте kube_configmap_info метрику и проверяйте
|
|
# что last-updated не старше N минут
|
|
```
|
|
|
|
## Безопасность при работе с внешними данными
|
|
|
|
```bash
|
|
# НЕ хардкодьте токены в политиках — используйте Secret
|
|
kubectl create secret generic external-api-token \
|
|
--from-literal=token=your-secret-token \
|
|
-n kyverno
|
|
|
|
# В политике читаем из Secret
|
|
# context:
|
|
# - name: apiToken
|
|
# apiCall:
|
|
# urlPath: "/api/v1/namespaces/kyverno/secrets/external-api-token"
|
|
# jmesPath: "data.token | base64_decode(@)"
|
|
```
|