SUSE Security Admission Controller cas d’utilisation

Je déploie SUSE Security Admission Controller et sa configuration par défaut avec son chart Helm kubewarden-defaults, dans l’espace de noms kubewarden. Cela déploie un PolicyServer par défaut et des ClusterAdmissionPolicies recommandées dans l’espace de noms kubewarden, uniquement sous le contrôle de l’opérateur Kubernetes.

En tant qu’opérateur, je peux ajouter d’autres PolicyServers sous un espace de noms géré (tel que kubewarden) pour répartir la charge et assurer la tolérance aux pannes.

Les opérateurs peuvent déployer davantage de ClusterAdmissionPolicies et de ClusterAdmissionPolicyGroups. Ceci vérifie toutes les ressources Kubernetes, pour tout type d’opération (GET, CREATE, UPDATE, PATCH, DELETE, PROXY). Cela garantit que les opérations dans le cluster sont sûres et conformes.

Elles comprennent les éléments suivants :

Les attentes en matière de sécurité évoluent avec le temps. Des déploiements précédemment corrects dans le cluster peuvent ne plus l’être. Pourtant, Admission Controller a déjà accepté ces opérations dans le cluster. Dans ces situations, l’opérateur peut déployer la fonctionnalité Audit Scanner, un CronJob qui s’exécute périodiquement et évalue les ressources existantes dans le cluster. Cela vérifie que le cluster est sûr et conforme même au fil du temps.

L’opérateur peut configurer des politiques en mode monitor au lieu de mode protect, pour apprendre l’état du cluster sans bloquer les opérations.

Les opérateurs peuvent recevoir des informations des politiques et de la pile Admission Controller en consommant des journaux et des informations OpenTelemetry pour les métriques et le traçage.

En tant qu’opérateur, je déploie Admission Controller comme dans le Cas A pour un ensemble de politiques de mon choix. Cela me fournit une base sûre dans le cluster, que d’autres utilisateurs ne peuvent pas contourner.

Tout comme dans le Cas A, j’ai différents personas par espaces de noms : peut-être des équipes, des administrateurs d’équipe, des déploiements de test, et d’autres. Je permets à chaque administrateur d’espace de noms de s’auto-servir en leur permettant de déployer des PolicyServers dans leur espace de noms, ainsi que des AdmissionPolicies et des AdmissionPolicyGroups spécifiques à leur espace de noms. Cette architecture signifie qu’ils contrôlent leur PolicyServer et leurs politiques. Les politiques ne s’appliquent qu’à leur espace de noms, et elles contraignent l’utilisation des ressources à celui-ci.

Cela permet également à l’opérateur de séparer les locataires bruyants, réservant des PolicyServers performants pour ces locataires et tâches qui nécessitent un haut débit et une faible latence, par exemple.

Admission Controller y parvient en prenant en charge tout langage qui se compile en WebAssembly comme langages cibles possibles pour les politiques. Cela signifie que les auteurs de politiques peuvent réutiliser leurs flux de travail (git, CI, éditeurs, évaluations par des pairs, etc.), et outils : langages, bibliothèques de langages, environnements de test et frameworks, etc.

Cela permet de réutiliser des langages spécifiques au domaine (comme Rego, CEL, les macros YAML de Kyverno) ou des langages de programmation généralistes (comme Go, Rust, C#, Javascript, tout ce qui se compile en Wasm). Admission Controller fournit SDKs pour quelques langages en tant que support de première classe.

Les politiques Admission Controller peuvent être simples ou complexes sensibles au contexte. Les politiques sensibles au contexte sont également utilisées pour interagir avec des charges de travail distinctes (par exemple, pour obtenir des informations d’un service de scanner d’images de longue durée).

En tant qu’intégrateur système, je souhaite réutiliser Admission Controller, et éventuellement réutiliser d’autres solutions en les incluant dans Admission Controller.

En tant qu’intégrateur système, je peux réutiliser des parties de Admission Controller. Par exemple, le policy-server, pour réguler les ressources, internes ou externes au cluster Kubernetes via la fonctionnalité "politiques brutes".

Les intégrateurs système peuvent choisir de déployer le kubewarden-controller ou de gérer les CRDs eux-mêmes. Ils peuvent choisir de déployer ou de mettre à l’échelle le Scanner d’Audit selon les besoins.

Les intégrateurs système peuvent créer de nouveaux composants. Par exemple, un scanner d’images, et interagir avec lui via une politique sensible au contexte, sans avoir une implémentation monolithique dans un contrôleur Kubernetes.

Admission Controller n’a pas l’intention de :