Политика применяется, когда необходимо убедиться, что изображение находится у доверенного издателя, и в него не вносились изменения. Подписывание Docker-образов — это процесс, обеспечивающий их подлинность и целостность. Это достигается путём добавления цифровой подписи к Docker-образу, которую можно проверить во время развертывания.
начало внимание
Политика будет доступна с версии ELMA365 On-Premises 2024.3.0
конец внимание
Для установки необходимо заполнить конфигурационный файл.
Заполнение конфигурационного файла
Заполните конфигурационный файл values-kyverno.yaml для установки Kyverno.
- Настройте политику проверки подписей Docker-образов. Политика выключена по умолчанию. Чтобы включить политику, в параметре
kyverno.checkImageSign.enabledукажите значениеtrue. - Если в вашем кластере Kubernetes установлено несколько экземпляров приложения ELMA365 On-Premises, но проверку подписей Docker-образов нужно применить только к части экземпляров приложений ELMA365, заполните параметр
kyverno.checkImageSign.namespace. В этом параметре указаваютсяnamespaceэкземпляров приложения ELMA365. - Укажите наименование
namespaceдля сервиса Kyverno, в данной статье —kyverno. Для обеспечения высокой доступности задайте необходимое количество реплик в параметреkyverno.replicaCount.
# Настройки kyverno
kyverno:
...
# политика проверки подписей Docker-образов
checkImageSign:
enabled: false
# список реестров, для которых будет применена политика подписей Docker-образов
registry:
- hub.elma365.tech
# список namespace, в которых будет применена политика подписей Docker-образов
# namespace:
# - elma365-dev
# - elma365-prod
# секрет для доступа к Docker-образам для применения политики подписей Docker-образов
existingImagePullSecrets:
- yandexsecret
namespace: kyverno
# количество реплик для обеспечения высокой доступности
replicaCount: 1
# установка crds (не требуется, добавлено в директорию crds)
installCRDs: false
...
# Настройки kyverno где:
|