我是 Kubernetes 新手。我正在尝试使用 Cosign 为 Docker 镜像签名,并使用 Kyverno Admission 控制器验证镜像。但在我的设置中,Kyverno Admission 控制器允许未签名的镜像进入集群。 Kyverno 政策文件, apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: name: kyverno namespace: kyverno spec: validationFailureAction: Enforce background: f...
我们想使用 AppArmor 来确保 pod 和容器的安全。我们有 Kyverno,并且可以使用它添加一些功能。我想知道是否可以在 kubernetes 中用 Kyverno 替换 AppArmor 以满足我们的需求?我的意思是是否可以创建策略来从容器中添加或删除任何功能? ...
我创建了一个策略,Service为命名空间中的每个对象生成 s Deployment。有一件事我无法弄清楚,那就是它是一个Policy而不是ClusterPolicy,我想让命名空间属性动态化。(因为该策略是用于定义 qa 和 prod 环境的 Kustomize 覆盖的一部分。)但它似乎并没有在验证策略之前解释此字段中的变量: 准入 webhook“validate-policy.kyverno.svc”拒绝了请求:路径:spec.rules[create-service]:命名空间策略无法在其他命名空间中生成资源,预期:bradmac-integrat...
尝试创建需要特定数组值的 Kyverno 策略。他们提供了标签等“地图”的示例,但我没有看到任何关于数组的具体内容。 以下是示例Application资源: apiVersion: argoproj.io/v1alpha1 kind: Application metadata: name: authentication namespace: openshift-gitops spec: destination: server: 'https://kubernetes.default.svc' project: cluster-conf...
我们的三个 Kyverno 吊舱中有两个一直陷入碰撞循环。 ArgoCD 中的状态详细信息如下: back-off 5m0s restarting failed container=kyverno pod=kyverno-85b8ccfffd-7vb4t_kyverno(cf50fb6d-a1c2-4384-bdbf-bebe865daa73) 我在日志中所能找到的全部内容是: panic: interface conversion: interface {} is nil, not string [recovered] panic: int...