🥇Kubernetes YAML apstiprināšana, salīdzinot ar paraugpraksi un politiku

Piezīme. tulk.: pieaugot K8s vidēm paredzēto YAML konfigurāciju skaitam, nepieciešamība pēc to automātiskās verifikācijas kļūst arvien aktuālāka. Šī pārskata autors ne tikai atlasīja šim uzdevumam esošus risinājumus, bet arī izmantoja izvietošanu kā piemēru, lai redzētu, kā tie darbojas. Tas izrādījās ļoti informatīvs tiem, kurus interesē šī tēma.

TL; DR: Šajā rakstā ir salīdzināti seši statiskie rīki, lai pārbaudītu un novērtētu Kubernetes YAML failus, ņemot vērā labāko praksi un prasības.

Kubernetes darba slodzes parasti tiek noteiktas YAML dokumentu veidā. Viena no YAML problēmām ir grūtības norādīt ierobežojumus vai attiecības starp manifesta failiem.

Ko darīt, ja mums ir jāpārliecinās, ka visi klasterī izvietotie attēli nāk no uzticama reģistra?

Kā es varu novērst to izvietojumu, kuriem nav PodDisruptionBudgets, nosūtīšanu uz kopu?

Statiskās testēšanas integrācija ļauj identificēt kļūdas un politikas pārkāpumus izstrādes stadijā. Tas palielina garantiju, ka resursu definīcijas ir pareizas un drošas, un palielina iespēju, ka ražošanas darba slodzes tiks ievērotas paraugprakses veidā.

Kubernetes statisko YAML failu pārbaudes ekosistēmu var iedalīt šādās kategorijās:

API pārbaudītāji. Šīs kategorijas rīki pārbauda YAML manifesta atbilstību Kubernetes API servera prasībām.
Gatavi testētāji. Šīs kategorijas rīkiem ir gatavi drošības, atbilstības paraugprakses testi utt.
Pielāgoti pārbaudītāji. Šīs kategorijas pārstāvji ļauj izveidot pielāgotus testus dažādās valodās, piemēram, Rego un Javascript.

Šajā rakstā mēs aprakstīsim un salīdzināsim sešus dažādus rīkus:

kubeval;
kube-score;
config-lint;
vara;
konkurss;
polaris.

Nu ko, sāksim!

Izvietojumu pārbaude

Pirms sākam salīdzināt rīkus, izveidosim pamatinformāciju, lai tos pārbaudītu.

Tālāk esošajā manifestā ir vairākas kļūdas un neatbilstība paraugpraksei: cik no tām varat atrast?

apiVersion: apps/v1
kind: Deployment
metadata:
  name: http-echo
spec:
  replicas: 2
  selector:
    matchLabels:
      app: http-echo
  template:
    metadata:
      labels:
        app: http-echo
    spec:
      containers:
      - name: http-echo
        image: hashicorp/http-echo
        args: ["-text", "hello-world"]
        ports:
        - containerPort: 5678
---
apiVersion: v1
kind: Service
metadata:
  name: http-echo
spec:
  ports:
  - port: 5678
    protocol: TCP
    targetPort: 5678
  selector:
    app: http-echo

(base-valid.yaml)

Mēs izmantosim šo YAML, lai salīdzinātu dažādus rīkus.

Iepriekš minētais manifests base-valid.yaml un citus manifestus no šī raksta var atrast Git krātuves.

Manifestā ir aprakstīta tīmekļa lietojumprogramma, kuras galvenais uzdevums ir atbildēt ar ziņojumu “Hello World” uz portu 5678. To var izvietot ar šādu komandu:

kubectl apply -f hello-world.yaml

Un tā - pārbaudiet darbu:

kubectl port-forward svc/http-echo 8080:5678

Tagad ejiet uz http://localhost:8080 un apstipriniet, ka lietojumprogramma darbojas. Bet vai tas atbilst paraugpraksei? Pārbaudīsim.

1. Kubeval

Pie sirds kubeval Ideja ir tāda, ka jebkura mijiedarbība ar Kubernetes notiek, izmantojot tā REST API. Citiem vārdiem sakot, varat izmantot API shēmu, lai pārbaudītu, vai dotā YAML tai atbilst. Apskatīsim piemēru.

Uzstādīšanas instrukcijas kubeval ir pieejami projekta tīmekļa vietnē.

Sākotnējā raksta rakstīšanas laikā bija pieejama versija 0.15.0.

Kad tas ir instalēts, ievadīsim to iepriekš norādītajā manifestā:

$ kubeval base-valid.yaml
PASS - base-valid.yaml contains a valid Deployment (http-echo)
PASS - base-valid.yaml contains a valid Service (http-echo)

Ja tas būs veiksmīgs, kubeval izies ar izejas kodu 0. Varat to pārbaudīt šādi:

$ echo $?
0

Tagad izmēģināsim kubeval ar citu manifestu:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: http-echo
spec:
  replicas: 2
  template:
    metadata:
      labels:
        app: http-echo
    spec:
      containers:
      - name: http-echo
        image: hashicorp/http-echo
        args: ["-text", "hello-world"]
        ports:
        - containerPort: 5678
---
apiVersion: v1
kind: Service
metadata:
  name: http-echo
spec:
  ports:
  - port: 5678
    protocol: TCP
    targetPort: 5678
  selector:
    app: http-echo

(kubeval-invalid.yaml)

Vai varat pamanīt problēmu ar aci? Sāksim:

$ kubeval kubeval-invalid.yaml
WARN - kubeval-invalid.yaml contains an invalid Deployment (http-echo) - selector: selector is required
PASS - kubeval-invalid.yaml contains a valid Service (http-echo)

# проверим код возврата
$ echo $?
1

Resurss netiek pārbaudīts.

Izvietojumi, izmantojot API versiju apps/v1, ir jāiekļauj atlasītājs, kas atbilst aplikuma apzīmējumam. Iepriekš minētajā manifestā nav iekļauts atlasītājs, tāpēc kubeval ziņoja par kļūdu un izgāja ar kodu, kas nav nulle.

Interesanti, kas notiks, ja es to darīšu kubectl apply -f ar šo manifestu?

Nu, mēģināsim:

$ kubectl apply -f kubeval-invalid.yaml
error: error validating "kubeval-invalid.yaml": error validating data: ValidationError(Deployment.spec):
missing required field "selector" in io.k8s.api.apps.v1.DeploymentSpec; if you choose to ignore these errors,
turn validation off with --validate=false

Tieši par šo kļūdu brīdināja Kubeval. Varat to labot, pievienojot atlasītāju:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: http-echo
spec:
  replicas: 2
  selector:          # !!!
    matchLabels:     # !!!
      app: http-echo # !!!
  template:
    metadata:
      labels:
        app: http-echo
    spec:
      containers:
      - name: http-echo
        image: hashicorp/http-echo
        args: ["-text", "hello-world"]
        ports:
        - containerPort: 5678
---
apiVersion: v1
kind: Service
metadata:
  name: http-echo
spec:
  ports:
  - port: 5678
    protocol: TCP
    targetPort: 5678
  selector:
    app: http-echo

(base-valid.yaml)

Tādu rīku kā kubeval priekšrocība ir tāda, ka šādas kļūdas var konstatēt jau izvietošanas cikla sākumā.

Turklāt šīm pārbaudēm nav nepieciešama piekļuve klasterim; tās var veikt bezsaistē.

Pēc noklusējuma kubeval pārbauda resursus saskaņā ar jaunāko Kubernetes API shēmu. Tomēr vairumā gadījumu jums var būt nepieciešams pārbaudīt, vai tas atbilst konkrētam Kubernetes laidienam. To var izdarīt, izmantojot karogu --kubernetes-version:

$ kubeval --kubernetes-version 1.16.1 base-valid.yaml

Lūdzu, ņemiet vērā, ka versija ir jānorāda formātā Major.Minor.Patch.

To versiju sarakstu, kurām tiek atbalstīta verifikācija, lūdzu, skatiet JSON shēma vietnē GitHub, ko kubeval izmanto apstiprināšanai. Ja jums ir nepieciešams palaist kubeval bezsaistē, lejupielādējiet shēmas un norādiet to vietējo atrašanās vietu, izmantojot karogu --schema-location.

Papildus atsevišķiem YAML failiem kubeval var strādāt arī ar direktorijiem un stdin.

Turklāt Kubeval viegli integrējas CI cauruļvadā. Tie, kas vēlas veikt testus pirms manifestu nosūtīšanas klasterim, būs priecīgi uzzināt, ka kubeval atbalsta trīs izvades formātus:

Vienkāršs teksts;
JSON;
Test Anything Protocol (TAP).

Un jebkuru no formātiem var izmantot turpmākai izvades parsēšanai, lai izveidotu vajadzīgā veida rezultātu kopsavilkumu.

Viens no kubeval trūkumiem ir tas, ka tas pašlaik nevar pārbaudīt atbilstību pielāgotajām resursu definīcijām (CRD). Tomēr ir iespējams konfigurēt kubeval ignorēt tos.

Kubeval ir lielisks līdzeklis resursu pārbaudei un novērtēšanai; Tomēr jāuzsver, ka testa nokārtošana negarantē, ka resurss atbilst labākajai praksei.

Piemēram, izmantojot tagu latest konteinerā neievēro labāko praksi. Tomēr kubeval neuzskata to par kļūdu un neziņo par to. Tas nozīmē, ka šāda YAML pārbaude tiks pabeigta bez brīdinājumiem.

Bet ko darīt, ja vēlaties novērtēt YAML un noteikt pārkāpumus, piemēram, tagu latest? Kā pārbaudīt, vai YAML fails atbilst paraugpraksei?

2. Kube-rezultāts

Kube-rezultāts parsē YAML manifestus un novērtē tos, salīdzinot ar iebūvētajiem testiem. Šie testi ir atlasīti, pamatojoties uz drošības vadlīnijām un labāko praksi, piemēram:

Palaižot konteineru nevis kā root.
Pāksts veselības pārbaužu pieejamība.
Resursu pieprasījumu un ierobežojumu iestatīšana.

Pamatojoties uz testa rezultātiem, tiek doti trīs rezultāti: OK, BRĪDINĀJUMS и KRITISKS.

Varat izmēģināt Kube-score tiešsaistē vai instalēt to lokāli.

Sākotnējā raksta rakstīšanas laikā jaunākā kube-score versija bija 1.7.0.

Izmēģināsim to mūsu manifestā base-valid.yaml:

$ kube-score score base-valid.yaml

apps/v1/Deployment http-echo
[CRITICAL] Container Image Tag
  · http-echo -> Image with latest tag
      Using a fixed tag is recommended to avoid accidental upgrades
[CRITICAL] Pod NetworkPolicy
  · The pod does not have a matching network policy
      Create a NetworkPolicy that targets this pod
[CRITICAL] Pod Probes
  · Container is missing a readinessProbe
      A readinessProbe should be used to indicate when the service is ready to receive traffic.
      Without it, the Pod is risking to receive traffic before it has booted. It is also used during
      rollouts, and can prevent downtime if a new version of the application is failing.
      More information: https://github.com/zegl/kube-score/blob/master/README_PROBES.md
[CRITICAL] Container Security Context
  · http-echo -> Container has no configured security context
      Set securityContext to run the container in a more secure context.
[CRITICAL] Container Resources
  · http-echo -> CPU limit is not set
      Resource limits are recommended to avoid resource DDOS. Set resources.limits.cpu
  · http-echo -> Memory limit is not set
      Resource limits are recommended to avoid resource DDOS. Set resources.limits.memory
  · http-echo -> CPU request is not set
      Resource requests are recommended to make sure that the application can start and run without
      crashing. Set resources.requests.cpu
  · http-echo -> Memory request is not set
      Resource requests are recommended to make sure that the application can start and run without crashing.
      Set resources.requests.memory
[CRITICAL] Deployment has PodDisruptionBudget
  · No matching PodDisruptionBudget was found
      It is recommended to define a PodDisruptionBudget to avoid unexpected downtime during Kubernetes
      maintenance operations, such as when draining a node.
[WARNING] Deployment has host PodAntiAffinity
  · Deployment does not have a host podAntiAffinity set
      It is recommended to set a podAntiAffinity that stops multiple pods from a deployment from
      being scheduled on the same node. This increases availability in case the node becomes unavailable.

YAML iztur kubeval testus, savukārt kube-score norāda uz šādiem trūkumiem:

Gatavības pārbaudes nav konfigurētas.
CPU resursiem un atmiņai nav pieprasījumu vai ierobežojumu.
Pod traucējumu budžeti nav norādīti.
Atdalīšanas noteikumu nav (pretafinitāte) lai maksimāli palielinātu pieejamību.
Konteiners darbojas kā root.

Tie visi ir derīgi punkti par trūkumiem, kas jānovērš, lai padarītu izvietošanu efektīvāku un uzticamāku.

Komanda kube-score parāda informāciju cilvēkiem salasāmā formā, tostarp visus veidu pārkāpumus BRĪDINĀJUMS и KRITISKS, kas ļoti palīdz attīstības gaitā.

Tie, kas vēlas izmantot šo rīku CI konveijerā, var iespējot vairāk saspiestu izvadi, izmantojot karogu --output-format ci (šajā gadījumā tiek parādīti arī testi ar rezultātu OK):

$ kube-score score base-valid.yaml --output-format ci

[OK] http-echo apps/v1/Deployment
[OK] http-echo apps/v1/Deployment
[CRITICAL] http-echo apps/v1/Deployment: (http-echo) CPU limit is not set
[CRITICAL] http-echo apps/v1/Deployment: (http-echo) Memory limit is not set
[CRITICAL] http-echo apps/v1/Deployment: (http-echo) CPU request is not set
[CRITICAL] http-echo apps/v1/Deployment: (http-echo) Memory request is not set
[CRITICAL] http-echo apps/v1/Deployment: (http-echo) Image with latest tag
[OK] http-echo apps/v1/Deployment
[CRITICAL] http-echo apps/v1/Deployment: The pod does not have a matching network policy
[CRITICAL] http-echo apps/v1/Deployment: Container is missing a readinessProbe
[CRITICAL] http-echo apps/v1/Deployment: (http-echo) Container has no configured security context
[CRITICAL] http-echo apps/v1/Deployment: No matching PodDisruptionBudget was found
[WARNING] http-echo apps/v1/Deployment: Deployment does not have a host podAntiAffinity set
[OK] http-echo v1/Service
[OK] http-echo v1/Service
[OK] http-echo v1/Service
[OK] http-echo v1/Service

Līdzīgi kā kubeval, kube-score atgriež izejas kodu, kas nav nulle, ja ir tests, kas neizdodas KRITISKS. Varat arī iespējot līdzīgu apstrādi BRĪDINĀJUMS.

Turklāt ir iespējams pārbaudīt resursu atbilstību dažādām API versijām (kā kubeval). Tomēr šī informācija ir iekodēta pašā kube-score: jūs nevarat atlasīt citu Kubernetes versiju. Šis ierobežojums var būt liela problēma, ja plānojat jaunināt savu kopu vai ja jums ir vairāki klasteri ar dažādām K8 versijām.

Lūdzu, ņemiet vērā, ka jau ir problēma ar priekšlikumu šo iespēju realizēt.

Plašāku informāciju par kube-score var atrast vietnē oficiālā vietne.

Kube-score testi ir lielisks rīks paraugprakses ieviešanai, bet ko darīt, ja jums ir jāveic izmaiņas testā vai jāpievieno savi noteikumi? Diemžēl to nevar izdarīt.

Kube-score nav paplašināms: jūs nevarat tam pievienot politikas vai pielāgot tās.

Ja jums ir jāraksta pielāgoti testi, lai pārbaudītu atbilstību uzņēmuma politikām, varat izmantot vienu no šiem četriem rīkiem: config-lint, copper, conftest vai polaris.

3. Config-lint

Config-lint ir rīks YAML, JSON, Terraform, CSV konfigurācijas failu un Kubernetes manifestu apstiprināšanai.

Jūs varat to instalēt, izmantojot instrukcijas projekta mājaslapā.

Pašreizējais laidiens uz oriģinālā raksta rakstīšanas brīdi ir 1.5.0.

Programmā Config-lint nav iebūvētu testu Kubernetes manifestu apstiprināšanai.

Lai veiktu jebkādus testus, jums ir jāizveido atbilstoši noteikumi. Tie ir rakstīti YAML failos, ko sauc par "rulesets" (noteikumu kopas), un tiem ir šāda struktūra:

version: 1
description: Rules for Kubernetes spec files
type: Kubernetes
files:
  - "*.yaml"
rules:
   # список правил

(rule.yaml)

Izpētīsim to tuvāk:

Lauks type norāda, kāda veida konfigurācija tiks izmantota config-lint. Attiecībā uz K8s tas izpaužas vienmēr Kubernetes.
Šajā jomā files Papildus pašiem failiem varat norādīt direktoriju.
Lauks rules paredzēts lietotāju testu iestatīšanai.

Pieņemsim, ka vēlaties pārliecināties, ka izvietošanas attēli vienmēr tiek lejupielādēti no uzticamas krātuves, piemēram, my-company.com/myapp:1.0. Konfigurācijas līnijas kārtula, kas veic šādu pārbaudi, izskatītos šādi:

- id: MY_DEPLOYMENT_IMAGE_TAG
  severity: FAILURE
  message: Deployment must use a valid image tag
  resource: Deployment
  assertions:
    - every:
        key: spec.template.spec.containers
        expressions:
          - key: image
            op: starts-with
            value: "my-company.com/"

(rule-trusted-repo.yaml)

Katram noteikumam ir jābūt šādiem atribūtiem:

id — noteikuma unikālais identifikators;
severity - Var būt Neveiksmes, BRĪDINĀJUMS и NEATTIECAS;
message — ja tiek pārkāpts noteikums, tiek parādīts šīs rindas saturs;
resource — resursa veids, uz kuru attiecas šis noteikums;
assertions — nosacījumu saraksts, kas tiks izvērtēti saistībā ar šo resursu.

Iepriekš minētajā noteikumā assertion aicināja every pārbauda, vai visi konteineri ir izvietošanā (key: spec.templates.spec.containers) izmantojiet uzticamus attēlus (t.i., sākot ar my-company.com/).

Pilns noteikumu kopums izskatās šādi:

version: 1
description: Rules for Kubernetes spec files
type: Kubernetes
files:
  - "*.yaml"
rules:

 - id: DEPLOYMENT_IMAGE_REPOSITORY # !!!
    severity: FAILURE
    message: Deployment must use a valid image repository
    resource: Deployment
    assertions:
      - every:
          key: spec.template.spec.containers
          expressions:
            - key: image
              op: starts-with
              value: "my-company.com/"

(ruleset.yaml)

Lai izmēģinātu testu, saglabāsim to kā check_image_repo.yaml. Pārbaudīsim failu base-valid.yaml:

$ config-lint -rules check_image_repo.yaml base-valid.yaml

[
  {
  "AssertionMessage": "Every expression fails: And expression fails: image does not start with my-company.com/",
  "Category": "",
  "CreatedAt": "2020-06-04T01:29:25Z",
  "Filename": "test-data/base-valid.yaml",
  "LineNumber": 0,
  "ResourceID": "http-echo",
  "ResourceType": "Deployment",
  "RuleID": "DEPLOYMENT_IMAGE_REPOSITORY",
  "RuleMessage": "Deployment must use a valid image repository",
  "Status": "FAILURE"
  }
]

Pārbaude neizdevās. Tagad apskatīsim šo manifestu ar pareizo attēlu repozitoriju:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: http-echo
spec:
  replicas: 2
  selector:
    matchLabels:
      app: http-echo
  template:
    metadata:
      labels:
        app: http-echo
    spec:
      containers:
      - name: http-echo
         image: my-company.com/http-echo:1.0 # !!!
         args: ["-text", "hello-world"]
         ports:
         - containerPort: 5678

(image-valid-mycompany.yaml)

Mēs izpildām to pašu testu ar iepriekš minēto manifestu. Problēmas nav atrastas:

$ config-lint -rules check_image_repo.yaml image-valid-mycompany.yaml
[]

Config-lint ir daudzsološs ietvars, kas ļauj jums izveidot savus testus, lai apstiprinātu Kubernetes YAML manifestus, izmantojot YAML DSL.

Bet ko darīt, ja jums ir nepieciešama sarežģītāka loģika un testi? Vai YAML nav pārāk ierobežots šim nolūkam? Ko darīt, ja jūs varētu izveidot testus pilnā programmēšanas valodā?

4. Vara

Vara V2 ir ietvars manifestu apstiprināšanai, izmantojot pielāgotus testus (līdzīgi kā config-lint).

Tomēr tas atšķiras no pēdējā ar to, ka testu aprakstīšanai neizmanto YAML. Tā vietā testus var rakstīt JavaScript. Copper nodrošina bibliotēku ar vairākiem pamata rīkiem, kas palīdz lasīt informāciju par Kubernetes objektiem un ziņot par kļūdām.

Vara instalēšanas darbības var atrast šeit oficiālā dokumentācija.

2.0.1 ir šīs utilītas jaunākā versija sākotnējā raksta rakstīšanas laikā.

Tāpat kā config-lint, arī Copper nav iebūvētu testu. Uzrakstīsim vienu. Ļaujiet tai pārbaudīt, vai izvietošanā tiek izmantoti konteinera attēli tikai no uzticamiem repozitorijiem, piemēram my-company.com.

Izveidojiet failu check_image_repo.js ar šādu saturu:

$$.forEach(function($){
    if ($.kind === 'Deployment') {
        $.spec.template.spec.containers.forEach(function(container) {
            var image = new DockerImage(container.image);
            if (image.registry.lastIndexOf('my-company.com/') != 0) {
                errors.add_error('no_company_repo',"Image " + $.metadata.name + " is not from my-company.com repo", 1)
            }
        });
    }
});

Tagad, lai pārbaudītu mūsu manifestu base-valid.yaml, izmantojiet komandu copper validate:

$ copper validate --in=base-valid.yaml --validator=check_image_tag.js

Check no_company_repo failed with severity 1 due to Image http-echo is not from my-company.com repo
Validation failed

Skaidrs, ka ar vara palīdzību var veikt sarežģītākus testus – piemēram, pārbaudīt domēna vārdus Ingress manifestos vai noraidīt priviliģētajā režīmā strādājošus podiņus.

Varam ir iebūvētas dažādas lietderības funkcijas:

DockerImage nolasa norādīto ievades failu un izveido objektu ar šādiem atribūtiem:
- name - attēla nosaukums,
- tag - attēla atzīme,
- registry - attēlu reģistrs,
- registry_url - protokols (https://) un attēlu reģistrs,
- fqin — pilna attēla atrašanās vieta.
Funkcija findByName palīdz atrast resursu pēc noteikta veida (kind) un vārds (name) no ievades faila.
Funkcija findByLabels palīdz atrast resursu pēc noteikta veida (kind) un etiķetes (labels).

Varat apskatīt visas pieejamās pakalpojumu funkcijas šeit.

Pēc noklusējuma tas ielādē visu YAML ievades failu mainīgajā $$ un padara to pieejamu skriptēšanai (pazīstama tehnika tiem, kam ir jQuery pieredze).

Galvenā Copper priekšrocība ir acīmredzama: jums nav jāapgūst specializēta valoda, un jūs varat izmantot dažādas JavaScript funkcijas, lai izveidotu savus testus, piemēram, virkņu interpolāciju, funkcijas utt.

Jāpiebilst arī, ka pašreizējā Copper versija darbojas ar JavaScript dzinēja ES5 versiju, nevis ES6.

Sīkāka informācija pieejama vietnē oficiālā projekta vietne.

Tomēr, ja jums nepatīk JavaScript un dodat priekšroku valodai, kas īpaši izstrādāta vaicājumu izveidei un politiku aprakstīšanai, jums vajadzētu pievērst uzmanību conftest.

5.Konkurss

Conftest ir konfigurācijas datu testēšanas sistēma. Piemērots arī Kubernetes manifestu testēšanai/pārbaudīšanai. Pārbaudes tiek aprakstītas, izmantojot specializētu vaicājumu valodu Rego.

Conftest var instalēt, izmantojot instrukcijasnorādīts projekta tīmekļa vietnē.

Sākotnējā raksta rakstīšanas laikā jaunākā pieejamā versija bija 0.18.2.

Līdzīgi kā config-lint un copper, conftest tiek piedāvāts bez iebūvētiem testiem. Izmēģināsim un izveidosim savu politiku. Tāpat kā iepriekšējos piemēros, mēs pārbaudīsim, vai konteinera attēli ir ņemti no uzticama avota.

Izveidojiet direktoriju conftest-checks, un tajā ir fails ar nosaukumu check_image_registry.rego ar šādu saturu:

package main

deny[msg] {

  input.kind == "Deployment"
  image := input.spec.template.spec.containers[_].image
  not startswith(image, "my-company.com/")
  msg := sprintf("image '%v' doesn't come from my-company.com repository", [image])
}

Tagad pārbaudīsim base-valid.yaml caur conftest:

$ conftest test --policy ./conftest-checks base-valid.yaml

FAIL - base-valid.yaml - image 'hashicorp/http-echo' doesn't come from my-company.com repository
1 tests, 1 passed, 0 warnings, 1 failure

Paredzams, ka pārbaude neizdevās, jo attēli tika iegūti no neuzticama avota.

Rego failā mēs definējam bloku deny. Tās patiesība tiek uzskatīta par pārkāpumu. Ja bloķē deny vairākus, conftest pārbauda tos neatkarīgi vienu no otra, un jebkura bloka patiesums tiek uzskatīts par pārkāpumu.

Papildus noklusējuma izvadei conftest atbalsta JSON, TAP un tabulas formātu — ļoti noderīga funkcija, ja nepieciešams iegult atskaites esošā CI konveijerā. Izmantojot karogu, varat iestatīt vēlamo formātu --output.

Lai atvieglotu politiku atkļūdošanu, conftest ir karodziņš --trace. Tas izvada izsekojumu tam, kā conftest parsē norādītos politikas failus.

Konkursa politikas var publicēt un kopīgot OCI (Open Container Initiative) reģistros kā artefaktus.

Komandas push и pull ļauj publicēt artefaktu vai izgūt esošu artefaktu no attālā reģistra. Mēģināsim publicēt mūsu izveidoto politiku vietējā Docker reģistrā, izmantojot conftest push.

Sāciet savu vietējo Docker reģistru:

$ docker run -it --rm -p 5000:5000 registry

Citā terminālī dodieties uz direktoriju, kuru izveidojāt iepriekš conftest-checks un palaidiet šādu komandu:

$ conftest push 127.0.0.1:5000/amitsaha/opa-bundle-example:latest

Ja komanda bija veiksmīga, jūs redzēsit šādu ziņojumu:

2020/06/10 14:25:43 pushed bundle with digest: sha256:e9765f201364c1a8a182ca637bc88201db3417bacc091e7ef8211f6c2fd2609c

Tagad izveidojiet pagaidu direktoriju un palaidiet tajā esošo komandu conftest pull. Tas lejupielādēs pakotni, kas izveidota ar iepriekšējo komandu:

$ cd $(mktemp -d)
$ conftest pull 127.0.0.1:5000/amitsaha/opa-bundle-example:latest

Pagaidu direktorijā parādīsies apakšdirektorijs policykurā ir mūsu politikas fails:

$ tree
.
└── policy
  └── check_image_registry.rego

Testus var palaist tieši no repozitorija:

$ conftest test --update 127.0.0.1:5000/amitsaha/opa-bundle-example:latest base-valid.yaml
..
FAIL - base-valid.yaml - image 'hashicorp/http-echo' doesn't come from my-company.com repository
2 tests, 1 passed, 0 warnings, 1 failure

Diemžēl DockerHub vēl netiek atbalstīts. Tāpēc uzskatiet, ka esat laimīgs, ja izmantojat Azure konteineru reģistrs (ACR) vai savu reģistru.

Artefakta formāts ir tāds pats kā Atveriet politikas aģentu pakotnes (OPA), kas ļauj izmantot conftest, lai palaistu testus no esošajām OPA pakotnēm.

Vairāk par politikas kopīgošanu un citām conftest funkcijām varat uzzināt vietnē oficiālā projekta vietne.

6. Polaris

Pēdējais rīks, kas tiks apspriests šajā rakstā, ir Polaris. (Viņa pagājušā gada paziņojums mēs jau tulkots Sākot no apm. tulkojums)

Polaris var instalēt klasterī vai izmantot komandrindas režīmā. Kā jūs, iespējams, uzminējāt, tas ļauj statiski analizēt Kubernetes manifestus.

Darbojoties komandrindas režīmā, ir pieejami iebūvēti testi, kas aptver tādas jomas kā drošība un labākā prakse (līdzīgi kā kube-score). Turklāt jūs varat izveidot savus testus (piemēram, config-lint, copper un conftest).

Citiem vārdiem sakot, Polaris apvieno abu kategoriju rīku priekšrocības: ar iebūvētiem un pielāgotiem testiem.

Lai instalētu Polaris komandrindas režīmā, izmantojiet norādījumus projekta tīmekļa vietnē.

Sākotnējā raksta rakstīšanas laikā ir pieejama versija 1.0.3.

Kad instalēšana ir pabeigta, manifestā varat palaist polaris base-valid.yaml ar šādu komandu:

$ polaris audit --audit-path base-valid.yaml

Tas izvadīs virkni JSON formātā ar detalizētu veikto testu un to rezultātu aprakstu. Izvadei būs šāda struktūra:

{
  "PolarisOutputVersion": "1.0",
  "AuditTime": "0001-01-01T00:00:00Z",
  "SourceType": "Path",
  "SourceName": "test-data/base-valid.yaml",
  "DisplayName": "test-data/base-valid.yaml",
  "ClusterInfo": {
    "Version": "unknown",
    "Nodes": 0,
    "Pods": 2,
    "Namespaces": 0,
    "Controllers": 2
  },
  "Results": [
    /* длинный список */
  ]
}

Pieejama pilna izvade šeit.

Tāpat kā kube-score, Polaris identificē problēmas jomās, kurās manifests neatbilst paraugpraksei:

Pākstīm nav veiktas veselības pārbaudes.
Konteinera attēlu atzīmes nav norādītas.
Konteiners darbojas kā root.
Atmiņas un CPU pieprasījumi un ierobežojumi nav norādīti.

Katram testam atkarībā no tā rezultātiem tiek piešķirta kritiskuma pakāpe: brīdinājums vai briesmas. Lai uzzinātu vairāk par pieejamajiem iebūvētajiem testiem, lūdzu, skatiet dokumentācija.

Ja informācija nav nepieciešama, varat norādīt karogu --format score. Šajā gadījumā Polaris izvadīs skaitli no 1 līdz 100 − punktu skaits (t.i., novērtējums):

$ polaris audit --audit-path test-data/base-valid.yaml --format score
68

Jo tuvāk rezultāts ir 100, jo augstāka ir sakritības pakāpe. Ja pārbaudāt komandas izejas kodu polaris audit, izrādās, ka tas ir vienāds ar 0.

Spēks polaris audit Varat pārtraukt darbu ar kodu, kas nav nulle, izmantojot divus karodziņus:

Atzīmēt --set-exit-code-below-score kā argumentu izmanto sliekšņa vērtību diapazonā no 1 līdz 100. Šajā gadījumā komanda tiks aizvērta ar izejas kodu 4, ja rezultāts ir zem sliekšņa. Tas ir ļoti noderīgi, ja jums ir noteikta sliekšņa vērtība (piemēram, 75) un jums ir jāsaņem brīdinājums, ja rezultāts ir zemāks.
Atzīmēt --set-exit-code-on-danger izraisīs komandas neveiksmi ar kodu 3, ja kāds no bīstamības testiem neizdodas.

Tagad mēģināsim izveidot pielāgotu testu, kas pārbauda, vai attēls ir ņemts no uzticamas krātuves. Pielāgotie testi ir norādīti YAML formātā, un pats tests ir aprakstīts, izmantojot JSON shēmu.

Šis YAML koda fragments apraksta jaunu testu ar nosaukumu checkImageRepo:

checkImageRepo:
  successMessage: Image registry is valid
  failureMessage: Image registry is not valid
  category: Images
  target: Container
  schema:
    '$schema': http://json-schema.org/draft-07/schema
    type: object
    properties:
      image:
        type: string
        pattern: ^my-company.com/.+$

Apskatīsim to tuvāk:

successMessage — šī rindiņa tiks izdrukāta, ja tests būs sekmīgi pabeigts;
failureMessage — šis ziņojums tiks parādīts kļūmes gadījumā;
category — norāda vienu no kategorijām: Images, Health Checks, Security, Networking и Resources;
target--- nosaka, kāda veida objekts (spec) tiek piemērots tests. Iespējamās vērtības: Container, Pod vai Controller;
Pats tests ir norādīts objektā schema izmantojot JSON shēmu. Atslēgas vārds šajā testā ir pattern izmanto, lai salīdzinātu attēla avotu ar nepieciešamo.

Lai palaistu iepriekš minēto testu, jums ir jāizveido šāda Polaris konfigurācija:

checks:
  checkImageRepo: danger
customChecks:
  checkImageRepo:
    successMessage: Image registry is valid
    failureMessage: Image registry is not valid
    category: Images
    target: Container
    schema:
      '$schema': http://json-schema.org/draft-07/schema
      type: object
      properties:
        image:
          type: string
          pattern: ^my-company.com/.+$

(polaris-conf.yaml)

Parsēsim failu:

Šajā jomā checks tiek noteikti testi un to kritiskuma līmenis. Tā kā ir vēlams saņemt brīdinājumu, kad attēls ir ņemts no neuzticama avota, mēs iestatām līmeni šeit danger.
Pats tests checkImageRepo pēc tam reģistrēts objektā customChecks.

Saglabājiet failu kā custom_check.yaml. Tagad jūs varat skriet polaris audit ar YAML manifestu, kam nepieciešama pārbaude.

Pārbaudīsim savu manifestu base-valid.yaml:

$ polaris audit --config custom_check.yaml --audit-path base-valid.yaml

Komanda polaris audit veica tikai iepriekš norādīto lietotāja testu, un tas neizdevās.

Ja labojat attēlu, lai my-company.com/http-echo:1.0, Polaris veiksmīgi pabeigs. Manifests ar izmaiņām jau ir iekšā krātuveslai jūs varētu pārbaudīt iepriekšējo komandu manifestā image-valid-mycompany.yaml.

Tagad rodas jautājums: kā palaist iebūvētos testus kopā ar pielāgotajiem? Viegli! Jums vienkārši jāpievieno iebūvētie testa identifikatori konfigurācijas failam. Rezultātā tam būs šāda forma:

checks:
  cpuRequestsMissing: warning
  cpuLimitsMissing: warning
  # Other inbuilt checks..
  # ..
  # custom checks
  checkImageRepo: danger # !!!
customChecks:
  checkImageRepo:        # !!!
    successMessage: Image registry is valid
    failureMessage: Image registry is not valid
    category: Images
    target: Container
    schema:
      '$schema': http://json-schema.org/draft-07/schema
      type: object
      properties:
        image:
          type: string
          pattern: ^my-company.com/.+$

(config_with_custom_check.yaml)

Ir pieejams pilna konfigurācijas faila piemērs šeit.

Pārbaudiet manifestu base-valid.yamlizmantojot iebūvētos un pielāgotos testus, varat izmantot komandu:

$ polaris audit --config config_with_custom_check.yaml --audit-path base-valid.yaml

Polaris papildina iebūvētos testus ar pielāgotiem testiem, tādējādi apvienojot labāko no abām pasaulēm.

No otras puses, nespēja izmantot jaudīgākas valodas, piemēram, Rego vai JavaScript, var būt ierobežojošs faktors, kas neļauj izveidot sarežģītākus testus.

Plašāka informācija par Polaris ir pieejama vietnē projekta vietne.

Kopsavilkums

Lai gan ir pieejami daudzi rīki, lai pārbaudītu un novērtētu Kubernetes YAML failus, ir svarīgi skaidri saprast, kā testi tiks izstrādāti un izpildīti.

Tā, piemēram, ja lietojat Kubernetes manifestus, kas iet cauri cauruļvadam, kubeval varētu būt pirmais solis šādā cauruļvadā. Tas pārraudzītu, vai objektu definīcijas atbilst Kubernetes API shēmai.

Kad šāda pārskatīšana ir pabeigta, varētu pāriet uz sarežģītākiem testiem, piemēram, atbilstību standarta paraugpraksei un īpašai politikai. Šeit noderētu kube-score un Polaris.

Tiem, kam ir sarežģītas prasības un kuriem nepieciešams detalizēti pielāgot testus, būtu piemērots varš, config-lint un conftest.

Conftest un config-lint izmanto YAML, lai definētu pielāgotus testus, un vara nodrošina piekļuvi pilnai programmēšanas valodai, padarot to par diezgan pievilcīgu izvēli.

No otras puses, vai ir vērts izmantot kādu no šiem rīkiem un līdz ar to visus testus izveidot manuāli, vai dot priekšroku Polaris un pievienot tam tikai nepieciešamo? Uz šo jautājumu nav skaidras atbildes.

Tālāk esošajā tabulā ir sniegts īss katra rīka apraksts:

Instruments
Destinies
Ierobežojumi
Lietotāju testi

kubeval
Pārbauda YAML manifestus attiecībā pret konkrētu API shēmas versiju
Nevar strādāt ar CRD
Nē

kube-score
Analizē YAML izpausmes pret labāko praksi
Nevar atlasīt savu Kubernetes API versiju, lai pārbaudītu resursus
Nē

varš
Vispārējs ietvars pielāgotu JavaScript testu izveidei YAML manifestiem
Nav iebūvētu testu. Slikta dokumentācija
Jā

config-lint
Vispārīga sistēma testu izveidei domēnam specifiskā valodā, kas iegulta YAML. Atbalsta dažādus konfigurācijas formātus (piem., Terraform)
Nav gatavu testu. Ar iebūvētiem apgalvojumiem un funkcijām var nepietikt
Jā

konkurss
Ietvars savu testu izveidei, izmantojot Rego (specializētu vaicājumu valodu). Ļauj koplietot politikas, izmantojot OCI komplektus
Nav iebūvētu testu. Man jāiemācās Rego. Docker Hub netiek atbalstīts, publicējot politikas
Jā

Polaris
Atsauksmes par YAML izpausmēm, salīdzinot ar standarta labāko praksi. Ļauj izveidot savus testus, izmantojot JSON shēmu
Var nepietikt ar testēšanas iespējām, kuru pamatā ir JSON shēma
Jā

Tā kā šie rīki nav atkarīgi no piekļuves Kubernetes klasterim, tos ir viegli instalēt. Tie ļauj filtrēt avota failus un nodrošināt ātru atgriezenisko saiti projektu piesaistes pieprasījumu autoriem.

PS no tulka

Lasi arī mūsu emuārā:

Avots: www.habr.com

Apstipriniet Kubernetes YAML paraugpraksi un politiku