Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

SUSE Security Admission Controller

Kubewarden es un motor de políticas que asegura y ayuda a gestionar los recursos de tu clúster. Permite la validación y mutación de solicitudes de recursos a través de políticas, incluyendo políticas conscientes del contexto y verificación de firmas de imágenes. Puede ejecutar políticas en modo de monitorización o de aplicación y proporciona una visión general del estado del clúster.

Kubewarden tiene como objetivo ser el motor de políticas universal al habilitar y simplificar la política como código. Las políticas de Kubewarden se compilan en WebAssembly: son pequeñas (400KB ~ 2MB), se ejecutan en un entorno aislado, son seguras y portátiles. Pretende ser universal atendiendo a cada persona en tu organización:

  • Usuario de Políticas: gestiona y declara políticas utilizando Recursos Personalizados de Kubernetes, reutiliza políticas existentes escritas en Rego (OPA y Gatekeeper). Prueba las políticas fuera del clúster en implementación continua (CI/CD).

  • Desarrollador de Políticas: escribe políticas en tu lenguaje preferido que compile a Wasm (Rego, Go, Rust, C#, Swift, Typescript, y más por venir). Reutiliza el ecosistema de herramientas, bibliotecas y flujos de trabajo que ya conoces.

  • Distribuidor de Políticas: las políticas son artefactos OCI, sírvelas a través de tu repositorio OCI y utiliza estándares de la industria en tu infraestructura, como el Software-Bill-Of-Materials y las firmas de artefactos.

  • Operador de Clúster: Kubewarden es modular (registro OCI, PolicyServers, escáner de auditoría, controlador). Configura tu ampliación para adaptarla a tus necesidades, segregando distintos inquilinos. Obtén una visión general de las violaciones pasadas, actuales y posibles en todo el clúster con el escáner de auditoría y los PolicyReports.

  • Integrador de Kubewarden: utilízalo como una plataforma para escribir nuevos módulos de Kubewarden y políticas personalizadas.

SUSE Security Admission Controller con Rancher

Los gráficos de Helm de Kubewarden están completamente integrados como aplicaciones de Rancher, proporcionando una interfaz de usuario para las opciones de instalación. Los gráficos también vienen con valores predeterminados que respetan la pila de Rancher (por ejemplo: no vigilar los espacios de nombres del sistema de Rancher), y el PolicyServer y las Políticas predeterminadas. Los usuarios tienen acceso a todas las características de Kubewarden y pueden desplegar PolicyServers y Políticas manualmente interactuando con la API de Kubernetes (por ejemplo: usando kubectl).

Kubewarden proporciona un reemplazo completo de las Políticas de Seguridad de Pods de Kubernetes que se han eliminado. Kubewarden también se integra con la nueva función de Admisión de Seguridad de Pods introducida por una versión reciente de Kubernetes, aumentando sus capacidades de seguridad.

SUSE Security Admission Controller con Cloud Native

La Extensión de UI de Rancher disponible para Kubewarden lo integra en la UI de Rancher. La Extensión de UI automatiza la instalación y configuración de la pila de Kubewarden y configura el acceso a las políticas mantenidas por SUSE. La extensión de la UI proporciona acceso a un catálogo curado de políticas listas para usar. Usando la extensión de la UI, se puede navegar, instalar y configurar estas políticas.

La extensión de la UI proporciona una visión general de los componentes de la pila de Kubewarden y su comportamiento. Esto incluye acceso a las métricas de Kubewarden y eventos de trazado. Un operador puede entender el impacto de las políticas en el clúster y solucionar problemas.

Además, la extensión de la UI proporciona la interfaz de usuario de Policy Reporter, que ofrece un resumen visual del estado de cumplimiento del clúster de Kubernetes. Con esta UI, un operador puede identificar rápidamente todos los recursos de Kubernetes no conformes, entender las razones de las violaciones y actuar en consecuencia. Todo esto con la oferta de soporte de Rancher Prime.