Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Dies ist eine unveröffentlichte Dokumentation für Admission Controller 1.34-dev.

Was ist SUSE Security Admission Controller?

SUSE Security Admission Controller ist eine Kubernetes-Richtlinien-Engine. Ziel ist es, die universelle Richtlinien-Engine für Kubernetes zu sein.

Admission Controller wird von einem herstellerneutralen CNCF Sandbox-Projekt namens Kubewarden abgeleitet, das ursprünglich von SUSE Rancher erstellt wurde. Der Name SUSE Security Admission Controller kann zu Admission Controller gekürzt oder als SSAC abgekürzt werden. Der Name Kubewarden bezieht sich auf das Open-Source-Gemeinschaftsprojekt. Der Name Kubewarden kann auch in dieser Dokumentation an Stelle von SUSE Security Admission Controller, Admission Controller oder SSAC verwendet werden.

Wie hilft SUSE Security Admission Controller?

Admission Controller bietet Flexibilität für die Zulassung und Durchsetzung von Richtlinien in einer Kubernetes-Umgebung.

Vorteile und Nutzen

  • Verwenden Sie jede Programmiersprache, die WebAssembly Binärdateien erzeugt, um Ihre Richtlinien zu schreiben.

  • WebAssembly ermöglicht die Kompatibilität von Richtlinien über Prozessoren und Betriebssysteme hinweg.

  • Wiederverwendung von Richtlinien aus anderen Richtlinien-Engines, ohne sie neu schreiben zu müssen.

  • Verteilen Sie Richtlinien mithilfe von standardisierten und sicheren Mechanismen wie OCI-konformen Registries.

  • Die Durchsetzung von Richtlinien bei der Zulassung stellt sicher, dass nur konforme Workloads ausgeführt werden.

  • Der Admission Controller Audit-Scanner überprüft aktiv und kontinuierlich die Durchsetzung von Richtlinien über die Zeit.

  • Überprüfen Sie Richtlinien mit SLSA (Supply Chain Levels for Software Artifacts) Werkzeugen und Praktiken.

  • SUSE Security Admission Controller bietet einen umfassenden Ansatz für das Management von Zulassungsrichtlinien.

  • Die CNCF-Mitgliedschaft und eine wachsende Open Source-Gemeinde und ein wachsendes Ökosystem unterstützen Admission Controller bei Transparenz, Zusammenarbeit und Verbesserung.

Einsatzbereiche

  • Sicherheitshärtung. Zum Beispiel Richtlinien durchsetzen, die Containerprivilegien einschränken, Netzwerkrichtlinien durchsetzen oder unsichere Image-Registries blockieren.

  • Compliance-Prüfung. Stellen Sie sicher, dass die Workloads den organisatorischen oder regulatorischen Standards und Best Practices entsprechen.

  • Ressourcenoptimierung. Setzen Sie Ressourcenlimits und -quoten durch.

Es gibt weitere Dokumentation zu Anwendungsfällen auf der Seite der Anwendungsfälle.

Neu bei Admission Controller?

Wenn Sie neu im Admission Controller-Projekt sind, beginnen Sie mit der Kurzanleitung und der Architektur-Seite. Dann hängt es davon ab, wohin Ihre Interessen Sie führen. Für Richtlinienentwickler gibt es sprachspezifische Abschnitte in den Tutorials. Für Integratoren und Administratoren gibt es einen Abschnitt mit 'Anleitungen'. Der Abschnitt Erklärungen enthält nützliche Hintergrundmaterialien. Es gibt auch ein Glossar.

Was ist WebAssembly?

Wie auf der offiziellen Website von WebAssembly angegeben:

WebAssembly (abgekürzt Wasm) ist ein binäres Instruktionsformat für eine stackbasierte virtuelle Maschine. Wasm ist als tragbares Kompilierungsziel für Programmiersprachen konzipiert, das die Bereitstellung im Web für Client- und Serveranwendungen ermöglicht.

Wasm wurde ursprünglich als "Erweiterung" des Browsers konzipiert. Die WebAssembly-Community engagiert sich jedoch in Bemühungen, die Ausführung von Wasm-Code außerhalb von Browsern zu ermöglichen.

Warum WebAssembly verwenden?

Benutzer können Kubernetes-Richtlinien mit ihrer bevorzugten Programmiersprache schreiben, vorausgesetzt, ihre Toolchain kann Wasm-Binärdateien generieren.

Wasm-Module sind tragbar, einmal erstellt, können sie auf jeder Art von Prozessorarchitektur und Betriebssystem ausgeführt werden. Zum Beispiel kann eine auf Apple Silicon entwickelte und gebaute Richtlinie ohne Konvertierung auf AMD64/Intel64 Linux ausgeführt werden.

Richtlinienautoren können ihre Fähigkeiten, Werkzeuge und Best Practices wiederverwenden. Richtlinien sind "traditionelle" Programme, die wiederverwendbare Blöcke (reguläre Bibliotheken) haben können. Sie können sie linten und testen, und Sie können sie in aktuelle CI- und CD-Workflows integrieren.

Richtlinienverteilung

Sie können Admission ControllerRichtlinien mit einem Standard-Webserver bereitstellen oder besser, Sie können sie in einem OCI-konformen Registry als OCI-Artefakte veröffentlichen.