Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Esta es documentación inédita para Admission Controller 1.34-dev.

¿Qué es SUSE Security Admission Controller?

SUSE Security Admission Controller es un motor de políticas de Kubernetes. Aspira a ser el motor de políticas universal para Kubernetes.

Admission Controller se deriva de un proyecto neutral de proveedor CNCF Sandbox, llamado Kubewarden, creado originalmente por SUSE Rancher. El nombre SUSE Security Admission Controller se puede abreviar a Admission Controller o abreviarse como SSAC. El nombre Kubewarden se refiere al proyecto de la comunidad de código abierto. El nombre Kubewarden también puede usarse en toda esta documentación en lugar de SUSE Security Admission Controller, Admission Controller o SSAC.

¿Cómo ayuda SUSE Security Admission Controller?

Admission Controller ofrece flexibilidad para la admisión y aplicación de políticas en un entorno de Kubernetes.

Beneficios y valor

  • Utiliza cualquier lenguaje de programación que genere binarios de WebAssembly para escribir tus políticas.

  • WebAssembly permite la compatibilidad de políticas entre procesadores y sistemas operativos.

  • Reutilización de políticas de otros motores de políticas sin necesidad de reescribirlas.

  • Distribuye políticas utilizando mecanismos estándar y seguros, como registros compatibles con OCI.

  • La aplicación de políticas en la admisión asegura que solo se ejecuten cargas de trabajo conformes.

  • El escáner de auditoría de Admission Controller verifica de forma activa y continua la aplicación de políticas a lo largo del tiempo.

  • Verifica políticas utilizando herramientas y prácticas de SLSA (Niveles de sistema de suministro para artefactos de software).

  • SUSE Security Admission Controller proporciona un enfoque integral para la gestión de políticas de admisión.

  • La membresía en CNCF y una creciente comunidad y ecosistema de código abierto ayudan a Admission Controller con transparencia, colaboración y mejora.

Casos de uso

  • Protección de la seguridad. Por ejemplo, aplica políticas que restrinjan los privilegios de los contenedores, aplica políticas de red o bloquea registros de imágenes inseguros.

  • Auditoría de conformidad. Asegúrate de que las cargas de trabajo cumplan con los estándares organizativos o regulatorios y las mejores prácticas.

  • Optimización de recursos. Aplica límites y cuotas de recursos.

Hay más documentación sobre casos de uso en la página de casos de uso.

¿Nuevo en Admission Controller?

Si eres nuevo en el proyecto Admission Controller, comienza con la guía de inicio rápido y la página de arquitectura. Entonces depende de dónde te lleven tus intereses. Para los desarrolladores de políticas, hay secciones específicas de lenguaje en los tutoriales. Para integradores y administradores, hay una sección de 'cómo hacer'. La sección de explicaciones contiene material de fondo útil. También hay un glosario.

¿Qué es WebAssembly?

Como se indica en la página oficial de WebAssembly:

WebAssembly (abreviado Wasm) es un formato de instrucción binaria para una máquina virtual basada en pila. Wasm está diseñado como un objetivo de compilación portátil para lenguajes de programación, permitiendo su implementación en la web para aplicaciones de cliente y servidor.

Wasm fue concebido originalmente como una "extensión" del navegador. Sin embargo, la comunidad de WebAssembly está comprometida en esfuerzos para permitir la ejecución de código Wasm fuera de los navegadores.

¿Por qué usar WebAssembly?

Los usuarios pueden escribir políticas de Kubernetes utilizando su lenguaje de programación favorito, siempre que su cadena de herramientas pueda generar binarios Wasm.

Los módulos Wasm son portátiles, una vez construidos, pueden ejecutarse en cualquier tipo de arquitectura de procesador y sistema operativo. Por ejemplo, una política desarrollada y construida en Apple Silicon puede ejecutarse en Linux AMD64/Intel64 sin conversión.

Los autores de políticas pueden reutilizar sus habilidades, herramientas y mejores prácticas. Las políticas son programas "tradicionales" que pueden tener bloques reutilizables (bibliotecas regulares). Puedes analizarlas y probarlas, y puedes integrarlas en los flujos de trabajo actuales de CI y CD.

Distribución de políticas

Puedes servir Admission Controller políticas utilizando un servidor web estándar o, mejor aún, puedes publicarlas en un registro compatible con OCI como artefactos OCI.