search string side menu

ELMA365 On-Premises > ELMA365 On-Premises Enterprise > Установка дополнений для приложения ELMA365 > Установка Kyverno / Политика проверки подписей Docker-образов

Политика проверки подписей Docker-образов

Политика применяется, когда необходимо убедиться, что изображение находится у доверенного издателя, и в него не вносились изменения. Подписывание Docker-образов — это процесс, обеспечивающий их подлинность и целостность. Это достигается путём добавления цифровой подписи к Docker-образу, которую можно проверить во время развертывания.

начало внимание

Политика будет доступна с версии ELMA365 On-Premises 2024.3.0

конец внимание

Для установки необходимо заполнить конфигурационный файл.

Заполнение конфигурационного файла

Заполните конфигурационный файл values-kyverno.yaml для установки Kyverno.

  1. Настройте политику проверки подписей Docker-образов. Политика выключена по умолчанию. Чтобы включить политику, в параметре kyverno.checkImageSign.enabled укажите значение true.
  2. Если в вашем кластере Kubernetes установлено несколько экземпляров приложения ELMA365 On-Premises, но проверку подписей Docker-образов нужно применить только к части экземпляров приложений ELMA365, заполните параметр kyverno.checkImageSign.namespace. В этом параметре указаваются namespace экземпляров приложения ELMA365.
  3. Укажите наименование namespace для сервиса Kyverno, в данной статье — kyverno. Для обеспечения высокой доступности задайте необходимое количество реплик в параметре kyverno.replicaCount.

## Настройки kyverno
kyverno:
...
  ## политика проверки подписей Docker-образов
  checkImageSign:
    enabled: false
    ## список реестров, для которых будет применена политика подписей Docker-образов
    registry:
      - hub.elma365.tech
    ## список namespace, в которых будет применена политика подписей Docker-образов
    # namespace:
      # - elma365-dev
      # - elma365-prod
    ## секрет для доступа к Docker-образам для применения политики подписей Docker-образов
    existingImagePullSecrets:
      - yandexsecret
  namespace: kyverno
  ## количество реплик для обеспечения высокой доступности
  replicaCount: 1
  ## установка crds (не требуется, добавлено в директорию crds)
  installCRDs: false
...

Заполнение параметров подключения к приватному registry для установки в закрытом контуре без доступа в интернет

Для подключения к приватному registry нужно:

  1. Скачать образы ELMA365 и загрузить их в локальный реестр образов. Подробнее об этом читайте в статье «Загрузка образов ELMA365».
  2. Задать адрес и путь для параметров kyverno.image.repository, kyverno.initImage.repository и kyverno.cleanupController.image.repository.
  3. Указать наименование секрета с правами доступа к приватному registry в параметрах kyverno.image.pullSecrets и kyverno.cleanupController.image.pullSecrets. Секрет должен быть создан вручную и зашифрован в Base64.

## Настройки kyverno
kyverno:
...
  ## Параметры подключения к приватному registry
  image:
## адрес и путь для приватного registry
    repository: registry.example.com/kyverno/kyverno
    tag: v1.9.0
## секрет с правами доступа к приватному registry должен быть создан вручную, зашифрованный в Base64
    pullSecrets:
      - myRegistryKeySecretName
  initImage:
## адрес и путь для приватного registry
    repository: registry.example.com/kyverno/kyvernopre
    tag: v1.9.0
  cleanupController:
    image:
## адрес и путь для приватного registry
      repository: registry.example.com/kyverno/cleanup-controller
      tag: v1.9.0
## секрет с правами доступа к приватному registry должен быть создан вручную и зашифрован в Base64
      pullSecrets:
        - myRegistryKeySecretName

где:

  • формат kyverno.image.repository:
    • адрес — registry.example.com;
    • путь — /kyverno/kyverno;
  • формат kyverno.initImage.repository:
    • адрес — registry.example.com;
    • путь — /kyverno/kyvernopre;
  • формат kyverno.cleanupController.repository:
    • адрес — registry.example.com;
    • путь — /kyverno/cleanup-controller.
ca-certificates-adding-policy.html install-linkerd.html