Nello script precedente abbiamo visto come sia facile poter recuperare l'elenco delle immagini presenti all'interno di un cluster di Kubernetes ed eventualmente individuare tutte quelle che non provengono da un registry "sicuro" o comunque validato dalla nostra organizzazione.
Oggi, invece, vediamo quanto sia semplice applicare una policy per fare in modo che il cluster di Kubernetes ci blocchi nel fare l'apply di risorse che contengono immagini provenienti da container registry non approvati. Per farlo, ci è sufficiente creare una risorsa di tipo ValidatingWebhookConfiguration. La sua configurazione sarà simile alla seguente:
apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: name: image-validation-webhook webhooks: - name: image-validation.example.com rules: - operations: ["CREATE", "UPDATE"] apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] failurePolicy: Fail clientConfig: service: name: image-validation-webhook namespace: default path: "/validate-image"
Questo webhook è configurato per essere invocato ogni qualvolta che si tenta di fare un deploy di una risorsa di tipo Pod, anche se è facilmente estendibile ad altre risorse. Nel momento della creazione, o di un update della stessa, il webhook viene invocato e riceve in input la risorsa che si sta tentando di creare. Successivamente, passa queste informazioni ad una API chiamata "/validate-image", esposta da un altro servizio deployato all'interno del cluster stesso.
Questo servizio, a sua volta, si occuperà di verificare che le immagini specificate all'interno della risorsa siano presenti all'interno di un registry approvato. Se così non fosse, il servizio restituirà un errore che verrà riportato all'utente che ha tentato di fare il deploy della risorsa, poichè abbiamo specificato come failurePolicy il valore Fail.
E', di fatto, una semplice API che fa una valutazione del payload ricevuto in ingresso e ne controlla un parametro specifico, ovvero il container registry.
[HttpPost] public IActionResult ValidateImage([FromBody] dynamic payload) { // Estrai il nome dell'immagine dal payload string imageName = payload.image; // Verifica se l'immagine proviene da aspitalia.azurecr.io if (!imageName.StartsWith("aspitalia.azurecr.io")) { return StatusCode(403, "Non sei autorizzato a utilizzare immagini da altri registri."); } // L'immagine è valida, permetti il deployment return Ok("Validazione immagine riuscita. Il deployment può procedere."); }
Infine, non ci resta che fare l'apply del codice YAML del validating webhook.
kubectl apply -f validating-webhook.yaml
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Supportare il sorting di dati tabellari in Blazor con QuickGrid
Implementare il throttling in ASP.NET Core
Disabilitare automaticamente un workflow di GitHub
Gestire errori funzionali tramite exception in ASP.NET Core Web API
Garantire la provenienza e l'integrità degli artefatti prodotti su GitHub
Potenziare Azure AI Search con la ricerca vettoriale
Ordinare randomicamente una lista in C#
Gestire il colore CSS con HWB
Usare le navigation property in QuickGrid di Blazor
Utilizzare politiche di resiliency con Azure Container App
Visualizzare le change sul plan di Terraform tramite le GitHub Actions
Personalizzare l'errore del rate limiting middleware in ASP.NET Core