Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Il s'agit d'une documentation non publiée pour Admission Controller 1.34-dev.

Qu’est-ce que SUSE Security Admission Controller ?

SUSE Security Admission Controller est un moteur de stratégie Kubernetes. Il vise à être le moteur de stratégie universel pour Kubernetes.

Admission Controller est dérivé d’un projet neutre de fournisseur CNCF Sandbox, appelé Kubewarden, créé à l’origine par SUSE Rancher. Le nom SUSE Security Admission Controller peut être raccourci en Admission Controller ou abrégé en SSAC. Le nom Kubewarden fait référence au projet communautaire open-source. Le nom Kubewarden peut également être utilisé dans cette documentation à la place de SUSE Security Admission Controller, Admission Controller ou SSAC.

Comment SUSE Security Admission Controller aide-t-il ?

Admission Controller offre de la flexibilité pour l’admission et l’application des stratégies dans un environnement Kubernetes.

Avantages et valeur

  • Utilisez n’importe quel langage de programmation qui génère des binaires WebAssembly pour écrire vos stratégies.

  • WebAssembly permet la compatibilité des stratégies entre les processeurs et les systèmes d’exploitation.

  • Réutilisation des stratégies d’autres moteurs de stratégie sans avoir besoin de les réécrire.

  • Distribuez les stratégies en utilisant des mécanismes standards et sécurisés tels que des registres conformes à OCI.

  • L’application des stratégies à l’admission garantit que seules les charges de travail conformes s’exécutent.

  • Le scanner d’audit Admission Controller vérifie activement et continuellement l’application des stratégies dans le temps.

  • Vérifiez les stratégies en utilisant des outils et pratiques SLSA (Niveaux de chaîne d’approvisionnement pour les artefacts logiciels).

  • SUSE Security Admission Controller fournit une approche complète pour la gestion des stratégies d’admission.

  • L’adhésion à la CNCF et une communauté et un écosystème Open Source en croissance aident Admission Controller avec la transparence, la collaboration et l’amélioration.

Cas pratiques d’utilisation

  • Renforcement de la sécurité. Par exemple, appliquez des stratégies restreignant les privilèges des conteneurs, appliquez des stratégies réseau ou bloquez les registres d’images non sécurisés.

  • Audit de conformité. Assurez-vous que les charges de travail respectent les normes organisationnelles ou réglementaires et les meilleures pratiques.

  • Optimisation des ressources. Appliquez des limites et des quotas de ressources.

Il existe une documentation supplémentaire sur les cas d’utilisation sur la page cas d’utilisation.

Nouveau sur Admission Controller ?

Si vous êtes nouveau dans le projet Admission Controller, commencez par le guide de démarrage rapide et la page architecture. Ensuite, cela dépend de l’endroit où vos intérêts vous mènent. Pour les développeurs de stratégies, il existe des sections spécifiques aux langages dans les tutoriels. Pour les intégrateurs et les administrateurs, il y a une section 'comment faire'. La section des explications contient du matériel de fond utile. Il y a aussi un glossaire.

Qu’est-ce que WebAssembly ?

Comme indiqué sur le site officiel de WebAssembly :

WebAssembly (abrégé Wasm) est un format d’instruction binaire pour une machine virtuelle basée sur une pile. Wasm est conçu comme une cible de compilation portable pour les langages de programmation, permettant le déploiement sur le web pour des applications client et serveur.

Wasm a été initialement conçu comme une "extension" de navigateur. Cependant, la communauté WebAssembly s’engage dans des efforts pour permettre l’exécution de code Wasm en dehors des navigateurs.

Pourquoi utiliser WebAssembly ?

Les utilisateurs peuvent écrire des stratégies Kubernetes en utilisant leur langage de programmation préféré, à condition que sa chaîne d’outils puisse générer des binaires Wasm.

Les modules Wasm sont portables, une fois construits, ils peuvent fonctionner sur n’importe quelle architecture de processeur et système d’exploitation. Par exemple, une stratégie développée et construite sur Apple Silicon peut fonctionner sur AMD64/Intel64 Linux sans conversion.

Les auteurs de stratégies peuvent réutiliser leurs compétences, outils et meilleures pratiques. Les stratégies sont des programmes "traditionnels" qui peuvent avoir des blocs réutilisables (bibliothèques régulières). Vous pouvez les analyser et les tester, et vous pouvez les intégrer dans les workflows CI et CD actuels.

Distribution des stratégies

Vous pouvez servir Admission Controller stratégies en utilisant un serveur web standard ou, mieux encore, vous pouvez les publier dans un registre conforme à OCI en tant que artéfacts OCI.