Kubernetes:容器执行前的策略检查
Kubernetes: Policy check before container execution
我是 Kubernetes 的新手,我正在寻找是否可以挂钩编排过程中的容器执行生命周期事件,以便我可以调用 API 来传递容器的详细信息并查看它是否允许在给定的环境、位置等中执行此容器
一个示例检查可以是:容器只能 运行 在欧洲或美国的数据中心。因此,在有人尝试在该区域数据中心之外执行此容器之前,不应允许这样做。
如果可行的话,有人可以建议我吗?实现这一目标的最佳方法是什么。
此致,
基兰
如果您不想从头开始...有一个 Cloud Native Computing Foundation(孵化)项目 - Open Policy Agent with support for Kubernetes 似乎可以满足您的需求。 (我不隶属于该项目)
您可以在集群中设置一个 ImagePolicy 准入控制器,如果您描述了允许从哪些寄存器中提取图像。
kube-image-bouncer 是 ImagePolicy 准入控制器的示例
A simple webhook endpoint server that can be used to validate the images being created inside of the kubernetes cluster.
我是 Kubernetes 的新手,我正在寻找是否可以挂钩编排过程中的容器执行生命周期事件,以便我可以调用 API 来传递容器的详细信息并查看它是否允许在给定的环境、位置等中执行此容器
一个示例检查可以是:容器只能 运行 在欧洲或美国的数据中心。因此,在有人尝试在该区域数据中心之外执行此容器之前,不应允许这样做。
如果可行的话,有人可以建议我吗?实现这一目标的最佳方法是什么。
此致, 基兰
如果您不想从头开始...有一个 Cloud Native Computing Foundation(孵化)项目 - Open Policy Agent with support for Kubernetes 似乎可以满足您的需求。 (我不隶属于该项目)
您可以在集群中设置一个 ImagePolicy 准入控制器,如果您描述了允许从哪些寄存器中提取图像。
kube-image-bouncer 是 ImagePolicy 准入控制器的示例
A simple webhook endpoint server that can be used to validate the images being created inside of the kubernetes cluster.