Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Esta é uma documentação não divulgada para Admission Controller 1.34-dev.

O que é o comando SUSE Security Admission Controller?

SUSE Security Admission Controller é um Motor de Política do Kubernetes. Ele visa ser o Motor de Política Universal para Kubernetes.

Admission Controller é derivado de um projeto neutro do fornecedor CNCF Sandbox, chamado Kubewarden, criado originalmente por SUSE Rancher. O nome SUSE Security Admission Controller pode ser abreviado para Admission Controller ou abreviado como SSAC. O nome Kubewarden refere-se ao projeto de comunidade de código aberto. O nome Kubewarden também pode ser usado em toda esta documentação no lugar de SUSE Security Admission Controller, Admission Controller ou SSAC.

Como SUSE Security Admission Controller ajuda?

Admission Controller oferece flexibilidade para a admissão e aplicação de políticas em um ambiente Kubernetes.

Benefícios e valor

  • Use qualquer linguagem de programação que gere binários WebAssembly para escrever suas políticas.

  • WebAssembly permite a compatibilidade de políticas entre processadores e sistemas operacionais.

  • Reutilização de políticas de outros motores de políticas sem a necessidade de reescrevê-las.

  • Distribua políticas usando mecanismos padrão e seguros, como registros compatíveis com OCI.

  • A aplicação de políticas na admissão garante que apenas cargas de trabalho em conformidade sejam executadas.

  • O scanner de auditoria Admission Controller verifica de forma ativa e contínua a aplicação de políticas ao longo do tempo.

  • Verifique políticas usando ferramentas e práticas SLSA (Níveis de Cadeia de Suprimentos para Artefatos de Software).

  • SUSE Security Admission Controller fornece uma abordagem abrangente para a gestão de políticas de admissão.

  • A associação ao CNCF e uma comunidade e ecossistema de código aberto em crescimento ajudam Admission Controller com transparência, colaboração e melhoria.

Casos de uso

  • Proteção de segurança. Por exemplo, imponha políticas que restrinjam privilégios de contêiner, imponha políticas de rede ou bloqueie registros de imagens inseguros.

  • Auditoria de conformidade. Garanta que as cargas de trabalho estejam em conformidade com os padrões e melhores práticas organizacionais ou regulatórios.

  • Otimização de recursos. Imponha limites e cotas de recursos.

Há mais documentação sobre casos de uso na página casos de uso.

Novo no Admission Controller?

Se você é novo no projeto Admission Controller, comece com o guia de início rápido e a página arquitetura. Então depende de onde seus interesses o levarão. Para desenvolvedores de políticas, há seções específicas para cada linguagem nos tutoriais. Para integradores e administradores, há uma seção de 'como fazer'. A seção de explicações contém material de fundo útil. Há também um glossário.

O que é WebAssembly?

Conforme declarado em site oficial do WebAssembly:

WebAssembly (abreviado como Wasm) é um formato de instrução binária para uma máquina virtual baseada em pilha. Wasm é projetado como um alvo de compilação portátil para linguagens de programação, permitindo a implantação na web para aplicativos cliente e servidor.

O Wasm foi originalmente concebido como uma "extensão" do navegador. No entanto, a comunidade WebAssembly está engajada em esforços para permitir a execução de código Wasm fora dos navegadores.

Por que usar WebAssembly?

Os usuários podem escrever políticas do Kubernetes usando sua linguagem de programação favorita, desde que sua cadeia de ferramentas possa gerar binários Wasm.

Os módulos Wasm são portáteis, uma vez construídos, podem ser executados em qualquer tipo de arquitetura de processador e sistema operacional. Por exemplo, uma política desenvolvida e construída em Apple Silicon pode ser executada em AMD64/Intel64 Linux sem conversão.

Os autores de políticas podem reutilizar suas habilidades, ferramentas e melhores práticas. As políticas são programas "tradicionais" que podem ter blocos reutilizáveis (bibliotecas regulares). Você pode lintar e testá-los e pode integrá-los aos fluxos de trabalho atuais de CI e CD.

Distribuição de políticas

Você pode servir políticas Admission Controller usando um servidor web padrão ou, melhor, pode publicá-las em um registro compatível com OCI como artefatos OCI.