コンテンツにスキップ

Kyverno@コード規約違反

はじめに

本サイトにつきまして、以下をご認識のほど宜しくお願いいたします。


01. Kyvernoの仕組み

アーキテクチャ

kyverno_architecture

Kyverno は、admission-controllers アドオン、webhook サーバー、Controller などのコンポーネトから構成されている。

ほかの静的解析ツール (例:kubeconform、pluto) や Amazon EKS のアップグレードインサイトとは異なり、kube-apiserver にマニフェストが送信された後に静的解析する。

kube-apiserver の mutating-admission ステップと validating-admission ステップで Kyverno の webhook サーバーに Webhook が送信される。

送信されたマニフェストの宣言が、事前に設定されたルールどおりであるかを検証する。もし違反していれば、マニフェストの宣言を変更する。

クライアント # kubeconform、pluto で検証

--- Cluster

kube-apiserver # Kyverno で検証

etcd # Amazon EKSアップグレードインサイトで検証


検出項目

Yaml によるユーザー定義のポリシーに基づいて、さまざまなツールの設定ファイルのコード規約違反を検証する。

自由にコード規約を定義でき、ほかの静的解析ツールの項目を網羅できる。

  • ベストプラクティス
  • 非推奨 apiVersion 検出