Richtlinienverwaltung: Kyverno darf sich in der CNCF-Sandbox bewähren
Nirmata entwickelt eine Policy Engine als Open-Source-Projekt, die sich nativ in Kubernetes integriert und dessen Ressourcen nutzt.
(Bild: Anton Petrus/Shutterstock.com)
- Matthias Parbel
Die Cloud Native Computing Foundation (CNCF) hat nun neben dem Open Policy Agent ein weiteres Projekt für die Richtlinienverwaltung in ihr Portfolio aufgenommen. Die ursprünglich von Nirmata entwickelte Policy Engine Kyverno darf sich ab sofort in der CNCF-Sandbox bewähren. Das Open-Source-Projekt ist darauf ausgelegt, sich nahtlos in Kubernetes zu integrieren und dessen vorhandene Ressourcen und Tools zu nutzen – Entwicklerinnen und Entwickler sollen darauf verzichten können, neue Sprachen oder Werkzeuge erlernen zu müssen, verspricht Nirmata-Gründer und CEO Jim Bugwadia.
Policies mit CRDs, YAML und JSON regeln
Im Unterschied zum Open Policy Agent, der für die Richtlinienverwaltung den Einsatz der Sprache Rego voraussetzt, verwendet Kyverno YAML oder JSON und lässt sich mit den für die meisten Kubernetes-Anwender vertrauten Tools kubectl, git und kustomize kombinieren. Um insbesondere im Unternehmenskontext, wenn es darauf ankommt, komplexe Policy-Konfiguration mit zum Teil Hunderten von Parametern in der API, zu handhaben, greift Kyverno den deklarativen Ansatz von Kubernetes auf.
Anhand von Custom Resource Definitions (CRDs) können Kubernetes-Administratoren bis ins Detail ausgefeilte Richtlinien erstellen, verwalten und für die vielfältigsten Anwendungsbereiche automatisieren. Kyverno lässt sich beispielsweise nutzen, um Zertifikate automatisch in Pods einzubauen, oder auch um Sidecar-Container anzulegen. Die Policy Engine soll sich sogar in der Zugangskontrolle einsetzen lassen. Dabei arbeite Kyverno als validierender und mutierender Webhook mit dem API-Server von Kubernetes zusammen, um gegebenenfalls ungültige oder nichtkonforme Konfigurationen zu blockieren.
Einfacher konfigurieren für mehr Sicherheit
Der an Pattern und Best Practices von Kubernetes angelehnte Ansatz von Kyverno soll dazu beitragen, die Richtlinienverwaltung auch in komplexeren Unternehmensumgebungen einfacher zu gestalten. Unter dem Dach der CNCF erhofft sich Nirmata-Chef Bugwadia zudem Synergien durch die engere Kooperation mit anderen Projekten. So habe unter anderen das Entwicklerteam hinter dem CNCF-Sandbox-Projekt cert-manager bereits Interesse bekundet, Kyverno für die Policy-Verwaltung rund um das Zertifikate-Management verwenden zu wollen.
Weitergehende Informationen zur Policy Engine finden sich auf der Kyverno-Homepage, der Verlautbarung im Rahmen der KubeCon + CloudNativeCon sowie in der Projektübersicht der Cloud Native Computing Foundation.
(map)
