53 lines
1.9 KiB
YAML
53 lines
1.9 KiB
YAML
apiVersion: kyverno.io/v1
|
|
kind: ClusterPolicy
|
|
metadata:
|
|
name: validate-registry-from-cache
|
|
annotations:
|
|
policies.kyverno.io/title: "Проверка реестра через кэшированные данные"
|
|
policies.kyverno.io/category: Security
|
|
policies.kyverno.io/severity: high
|
|
policies.kyverno.io/subject: Pod
|
|
policies.kyverno.io/description: >-
|
|
Проверяет образ контейнера против списка разрешённых реестров,
|
|
хранящегося в ConfigMap external-data-cache.
|
|
Список обновляется каждые 10 минут CronJob из внешнего API.
|
|
Паттерн "кэш в ConfigMap" — быстрее чем прямые apiCall к внешним API.
|
|
spec:
|
|
validationFailureAction: Enforce
|
|
background: true
|
|
rules:
|
|
- name: check-registry-from-cache
|
|
match:
|
|
resources:
|
|
kinds:
|
|
- Pod
|
|
exclude:
|
|
resources:
|
|
namespaces:
|
|
- kube-system
|
|
- kyverno
|
|
context:
|
|
- name: allowedRegistries
|
|
configMap:
|
|
name: external-data-cache
|
|
namespace: kyverno
|
|
- name: allowedPattern
|
|
variable:
|
|
value: >-
|
|
{{ join('', ['^(', join('|', split(allowedRegistries.data.\"allowed-registries\", '\n')[?@ != '']), ')']) }}
|
|
validate:
|
|
foreach:
|
|
- list: >-
|
|
request.object.spec.containers[] |
|
|
merge(request.object.spec.initContainers[] || `[]`, @)
|
|
message: >-
|
|
Образ '{{ element.image }}' из недоверенного реестра.
|
|
Список разрешённых реестров (обновлён {{ allowedRegistries.data.\"last-updated\" }}):
|
|
{{ allowedRegistries.data.\"allowed-registries\" }}
|
|
deny:
|
|
conditions:
|
|
all:
|
|
- key: "{{ regex_match(allowedPattern, element.image) }}"
|
|
operator: Equals
|
|
value: false
|