この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

これは未公開の文書です Admission Controller 1.36-dev.

SUSE Security Admission Controllerとは

SUSE Security Admission ControllerはKubernetesポリシーエンジンです。 Kubernetesのためのユニバーサルポリシーエンジンを目指しています。

SUSE Security Admission Controller is derived from a vendor neutral, CNCF Sandbox project, called Kubewarden, originally created by SUSE Rancher. The name SUSE Security Admission Controller may be shortened to Admission Controller or abbreviated as SSAC. The name Kubewarden refers to the open-source community project. The name Kubewarden may also be used throughout this documentation in place of SUSE Security Admission Controller, Admission Controller, or SSAC. This will be in references in source code or configuration examples.

SUSE Security Admission Controllerはどのように役立ちますか?

Admission ControllerはKubernetes環境におけるポリシーのアドミッションと強制に柔軟性を提供します。

利点と価値

  • WebAssemblyバイナリを生成する任意のプログラミング言語を使用してポリシーを記述します。

  • WebAssemblyは、プロセッサとオペレーティングシステム間でのポリシーの互換性を可能にします。

  • 他のポリシーエンジンからのポリシーを再利用することができ、再記述の必要がありません。

  • OCI準拠のレジストリなど、標準的で安全なメカニズムを使用してポリシーを配布します。

  • アドミッションにおけるポリシーの強制により、コンプライアンスに準拠したワークロードのみが実行されます。

  • Admission Controller監査スキャナーは、時間の経過とともにポリシーの強制を積極的かつ継続的にチェックします。

  • SLSA(ソフトウェアアーティファクトのためのサプライチェーンレベル)ツールとプラクティスを使用してポリシーを検証します。

  • SUSE Security Admission Controllerはアドミッションポリシー管理に対する包括的なアプローチを提供します。

  • CNCFのメンバーシップと成長するオープンソースコミュニティおよびエコシステムは、透明性、コラボレーション、改善においてAdmission Controllerを支援します。

使用例

  • セキュリティハードニング。例えば、コンテナの権限を制限するポリシーを強制したり、ネットワークポリシーを強制したり、安全でないイメージレジストリをブロックしたりします。

  • コンプライアンスの監査です。ワークロードが組織または規制の基準およびベストプラクティスに準拠していることを確認します。

  • リソースの最適化です。リソースの制限と割り当てを強制します。

使用例のさらなる文書は使用例ページにあります。

Admission Controllerに初めてですか?

Admission Controllerプロジェクトに初めての場合は、クイックスタートガイドアーキテクチャページから始めてください。 その後は、あなたの興味がどこに向かうかによります。ポリシー開発者向けには、チュートリアルに言語特有のセクションがあります。統合者および管理者向けには、「ハウツー」セクションがあります。説明セクションには、役立つ背景資料が含まれています。また、用語集もあります。

WebAssemblyとは何ですか?

WebAssemblyの公式ウェブサイトに記載されているように:

WebAssembly(略称Wasm)は、スタックベースの仮想マシン用のバイナリ命令形式です。Wasmは、プログラミング言語のためのポータブルなコンパイルターゲットとして設計されており、クライアントおよびサーバーアプリケーションのためにウェブ上での展開を可能にします。

Wasmは元々、ブラウザの「拡張機能」として考案されました。しかし、WebAssemblyコミュニティは、ブラウザの外でWasmコードを実行できるようにするための取り組みに従事しています。

なぜWebAssemblyを使用するのですか?

ユーザーは、ツールチェーンがWasmバイナリを生成できる限り、好きなプログラミング言語を使用してKubernetesポリシーを書くことができます。

Wasmモジュールはポータブルで、一度構築されると、あらゆる種類のプロセッサアーキテクチャとオペレーティングシステムで実行できます。例えば、Apple Silicon上で開発・構築されたポリシーは、変換なしでAMD64/Intel64 Linux上で実行できます。

ポリシーの著者は、自分のスキル、ツール、ベストプラクティスを再利用できます。ポリシーは「従来の」プログラムであり、再利用可能なブロック(通常のライブラリ)を持つことができます。それらをリンティングおよびテストでき、現在のCIおよびCDワークフローに組み込むことができます。

ポリシー配布

標準のウェブサーバーを使用してAdmission Controllerポリシーを提供することができます。または、より良い方法として、https://github.com/opencontainers/artifacts[OCIアーティファクト]としてOCI準拠のレジストリに公開することができます。