Skip to content

Commit

Permalink
Merge pull request #19 from cloud-pi-native/Baboulinet-33-patch-1
Browse files Browse the repository at this point in the history 
typo
  • Loading branch information
@plec
plec authored Feb 2, 2024
2 parents 637a153 + 4ef2475 commit 82bb855
Showing 1 changed file with 8 additions and 6 deletions.
14 changes: 8 additions & 6 deletions docs/agreement/kyverno.md
View file
Original file line number Diff line number Diff line change
@@ -1,6 +1,8 @@
# Règles Kyverno appliquées aux clusters

Kyverno est un moteur de politiques conçu pour Kubernetes, ces politiques peuvent valider, muter, générer et nettoyer les ressources Kubernetes, ainsi que vérifier les signatures d'images et les artefacts pour aider à sécuriser la chaîne d'approvisionnement des logiciels.
Kyverno est un moteur de politiques conçu pour Kubernetes.

Ces politiques peuvent valider, muter, générer et nettoyer les ressources Kubernetes, ainsi que vérifier les signatures d'images et les artefacts pour aider à sécuriser la chaîne d'approvisionnement des logiciels.

Dans le cadre de l'offre de service du MIOM, les règles suivantes sont appliquées sur les clusters que nous opérons :

Expand All @@ -21,13 +23,13 @@ Dans le cadre de l'offre de service du MIOM, les règles suivantes sont appliqu
| disallow-selfprovisionning | AUDIT | ENFORCE | | Sécurité | Empêche la liaison au rôle de self-provisionners pour un contrôle strict de la création de projet OpenShift |
| etcd | ENFORCE | ENFORCE | | Sécurité | Assure que le chiffrement est activé pour etcd dans les clusters OpenShift |
| limit-size-pvc | AUDIT | ENFORCE | pvc < 1Ti | Bonne pratique | Limite la taille des revendications de volume persistant (PVC) pour éviter l'utilisation excessive des ressources de stockage |
| need-containers-ressources | AUDIT | ENFORCE | limits.memory, limits.cpu, request.memory et request.cp | Bonne pratique | Assure que les demandes de ressources et les limites sont définies pour tous les Pods, pour assurer une utilisation équitable des ressources |
| need-containers-ressources | AUDIT | ENFORCE | limits.memory, limits.cpu, request.memory et request.cpu | Bonne pratique | Assure que les demandes de ressources et les limites sont définies pour tous les Pods, pour assurer une utilisation équitable des ressources |
| restrict-image-registry | AUDIT | ENFORCE | registres autorisés : docker.io/, harbor.io/, registry.redhat.io/, quay.io/, bitnami/, ghcr.io/ | Sécurité | Restreint les registres d'images à partir desquels les conteneurs peuvent tirer des images, comme mesure de sécurité pour assurer l'utilisation d'images de confiance uniquement |
| restrict-nodeport | AUDIT | ENFORCE | | Securité | Restreint l'utilisation des services NodePort, qui peuvent exposer des services à l'extérieur du cluster et représenter un risque de sécurité potentiel | <<>> |
| need-liveness-readiness | AUDIT | ENFORCE | | Bonne pratique | Assure que tous les conteneurs ont l'un des trois : sondes de Liveness, Readiness ou de Startup probes, pour s'assurer qu'ils signalent correctement leur statut à Openshift |
| job-history | AUDIT | ENFORCE | | Bonne pratique | Assure que les cronjob est un successfulJobsHistoryLimit: 5 et failedJobsHistoryLimit: 5 |
| need-liveness-readiness | AUDIT | ENFORCE | | Bonne pratique | Assure que tous les conteneurs ont l'une des trois sondes (Liveness, Readiness ou Startup), pour s'assurer qu'ils signalent correctement leur statut à Openshift |
| job-history | AUDIT | ENFORCE | | Bonne pratique | Cronjob: ajoute les propriétés `successfulJobsHistoryLimit: 5` et `failedJobsHistoryLimit: 5` |

Explication de la difference entre ENFORCE et AUDIT :
- Enforce : Kyverno bloquera l'action (par exemple, la création, la mise à jour ou la suppression d'une ressource) si la politique n'est pas respectée. Cela garantit que toutes les ressources du cluster respectent les politiques mise en place.
- Enforce : Kyverno bloquera l'action (par exemple, la création, la mise à jour ou la suppression d'une ressource) si la politique n'est pas respectée. Cela garantit que toutes les ressources du cluster respectent les politiques mises en place.

- Audit: Une action d'Audit ne bloquera pas une action si la politique n'est pas respectée, mais elle enregistrera l'infraction dans les résultats d'audit de Kyverno. C'est utile pour observer les infractions aux politiques sans bloquer les actions, ce qui peut être particulièrement utile dans les environnements de développement ou de test.
- Audit: Une action d'Audit ne bloquera pas une action si la politique n'est pas respectée, mais elle enregistrera l'infraction dans les résultats d'audit de Kyverno. C'est utile pour observer les infractions aux politiques sans bloquer les actions, ce qui peut être particulièrement utile dans les environnements de développement ou de test.

0 comments on commit 82bb855

Please sign in to comment.