Nello script precedente abbiamo visto come sia facile poter recuperare l'elenco delle immagini presenti all'interno di un cluster di Kubernetes ed eventualmente individuare tutte quelle che non provengono da un registry "sicuro" o comunque validato dalla nostra organizzazione.
Oggi, invece, vediamo quanto sia semplice applicare una policy per fare in modo che il cluster di Kubernetes ci blocchi nel fare l'apply di risorse che contengono immagini provenienti da container registry non approvati. Per farlo, ci è sufficiente creare una risorsa di tipo ValidatingWebhookConfiguration. La sua configurazione sarà simile alla seguente:
apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: name: image-validation-webhook webhooks: - name: image-validation.example.com rules: - operations: ["CREATE", "UPDATE"] apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] failurePolicy: Fail clientConfig: service: name: image-validation-webhook namespace: default path: "/validate-image"
Questo webhook è configurato per essere invocato ogni qualvolta che si tenta di fare un deploy di una risorsa di tipo Pod, anche se è facilmente estendibile ad altre risorse. Nel momento della creazione, o di un update della stessa, il webhook viene invocato e riceve in input la risorsa che si sta tentando di creare. Successivamente, passa queste informazioni ad una API chiamata "/validate-image", esposta da un altro servizio deployato all'interno del cluster stesso.
Questo servizio, a sua volta, si occuperà di verificare che le immagini specificate all'interno della risorsa siano presenti all'interno di un registry approvato. Se così non fosse, il servizio restituirà un errore che verrà riportato all'utente che ha tentato di fare il deploy della risorsa, poichè abbiamo specificato come failurePolicy il valore Fail.
E', di fatto, una semplice API che fa una valutazione del payload ricevuto in ingresso e ne controlla un parametro specifico, ovvero il container registry.
[HttpPost] public IActionResult ValidateImage([FromBody] dynamic payload) { // Estrai il nome dell'immagine dal payload string imageName = payload.image; // Verifica se l'immagine proviene da aspitalia.azurecr.io if (!imageName.StartsWith("aspitalia.azurecr.io")) { return StatusCode(403, "Non sei autorizzato a utilizzare immagini da altri registri."); } // L'immagine è valida, permetti il deployment return Ok("Validazione immagine riuscita. Il deployment può procedere."); }
Infine, non ci resta che fare l'apply del codice YAML del validating webhook.
kubectl apply -f validating-webhook.yaml
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Evitare (o ridurre) il repo-jacking sulle GitHub Actions
Utilizzare politiche di resiliency con Azure Container App
Miglioramenti nelle performance di Angular 16
Aggiungere interattività lato server in Blazor 8
Criptare la comunicazione con mTLS in Azure Container Apps
Eseguire attività con Azure Container Jobs
Garantire la provenienza e l'integrità degli artefatti prodotti su GitHub
Creare un webhook in Azure DevOps
Paginare i risultati con QuickGrid in Blazor
Load test di ASP.NET Core con k6
Migrare una service connection a workload identity federation in Azure DevOps
Triggerare una pipeline su un altro repository di Azure DevOps
I più letti di oggi
- Accesso ai dati con Entity Framework Core 1
- Gestire la configurazione di ASP.NET Core su più ambienti
- Gestione dei token negli input di testo con la Universal Windows Platform
- Inference di dati strutturati da testo con Semantic Kernel e ASP.NET Core Web API
- Reagire alle modifiche della configurazione di ASP.NET Core