Tanzu v1.29.7+ y Pod Security Admission

-
Kubernetes v1.26 comenzó a forzar la "seguridad de los pods" haciendo que Pod Security Admission, de forma predeterminada, esté activo en su forma más restrictiva. Para poder desactivar estas restricciones, se deben implementar Labels en los namespaces requeridos para enforce, audit y warn.

Siempre me pareció un poco arbitrario este cambio. Está bien intentar impulsar las mejores prácticas pero hacía falta tener una forma de modificar el comportamiento en forma global.

Estoy probando Tanzu Supervisor Cluster v1.29.7 (luego de actualizar vSphere a v8U3) y encuentro, con mucho agrado, que ahora podemos configurar Pod Security Admission a nivel global en un cluster de kubernetes directamente en el YAML que usamos para crearlo.

Nuevo objeto Cluster

Venía usando el objeto TanzuKubernetesCluster para crear nuevos clusters en Tanzu. Ahora se deja de usar en favor del objeto Cluster nativo de Kubernetes. El siguiente es un ejemplo básico de YAML:

apiVersion: cluster.x-k8s.io/v1beta1
kind: Cluster
metadata:
  name: cluster-01
  namespace: mi-namespace
spec:
  clusterNetwork:
    services:
      cidrBlocks: ["10.96.0.0/12"]
    pods:
      cidrBlocks: ["192.168.0.0/16"]
    serviceDomain: "cluster.local"
  topology:
    class: tanzukubernetescluster
    version: v1.30.1---vmware.1-fips-tkg.5
    controlPlane:
      replicas: 3
    workers:
      machineDeployments:
        - class: node-pool
          name: node-pool-1
          replicas: 3
    variables:
      - name: vmClass
        value: guaranteed-medium
      - name: storageClass
        value: tanzu-storage-policy
      - name: defaultStorageClass
        value: tanzu-storage-policy
El valor de spec.topology.version es el nombre del Tanzu Kubernetes Release y obtenemos ejecutando el siguiente comando en el namespace correspondiente del Supervisor Cluster
kubectl get tkr
El valor de spec.topology.variables - vmClass lo obtenemos ejecutando:
kubectl get vmclass
Ya tenemos listo el YAML básico para desplegar un cluster. Sin embargo, la gran novedad para mí es la capacidad de configurar PSA a nivel de cluster al momento del despliegue. Entonces, a las "variables" del YAML podemos agregar el siguiente bloque, por ejemplo, para un cluster de laboratorio:

      - name: podSecurityStandard
        value:
          audit: restricted
          auditVersion: latest
          enforce: privileged
          enforceVersion: latest
          warn: privileged
          warnVersion: latest
De modo que levanta las restricciones aunque las audita. El yaml completo quedaría así:

apiVersion: cluster.x-k8s.io/v1beta1
kind: Cluster
metadata:
  name: cluster-01
  namespace: mi-namespace
spec:
  clusterNetwork:
    services:
      cidrBlocks: ["10.96.0.0/12"]
    pods:
      cidrBlocks: ["192.168.0.0/16"]
    serviceDomain: "cluster.local"
  topology:
    class: tanzukubernetescluster
    version: v1.30.1---vmware.1-fips-tkg.5
    controlPlane:
      replicas: 3
    workers:
      machineDeployments:
        - class: node-pool
          name: node-pool-1
          replicas: 3
    variables:
      - name: vmClass
        value: guaranteed-medium
      - name: storageClass
        value: tanzu-storage-policy
      - name: defaultStorageClass
        value: tanzu-storage-policy
      - name: podSecurityStandard
        value:
          audit: restricted
          auditVersion: latest
          enforce: privileged
          enforceVersion: latest
          warn: privileged
          warnVersion: latest
Desplegamos nuestro cluster y ya podemos crear, por ejemplo, pods con una imagen "latest" sin necesidad de agregar labels a los namespaces:
kubectl run nginx --image nginx
Bravo!

Comentarios

Publicar un comentario

Entradas populares de este blog

vRA8 - Definir redes disponibles por Projecto

-
Imagen
¿Cómo compartir un Template entre varios Proyectos de vRealize Automation 8.x si cada Proyecto debe utilizar diferentes redes? En vRealize Automation 7.x las redes se definían en la Reservación de un Bussiness Group y se podían consultar con una Action "built-in" de vRO. En vRealize Automation 8.x la reservación de define en el Proyecto y no incluye las redes que puede utilizar. Configurar los Proyectos   Definimos dos Proyectos y en cada uno de ellos agregamos una Custom Property llamada "applicableNetworks" y, como valor, definimos los TAGs correspondientes a las redes que queremos habilitar para el Proyecto (separados por comas). Para el Proyecto #1: dev,qa Para el Proyecto #2: dev,qa,dmz Template En el Template definimos un Input y listamos las redes. De esta forma podremos probarlo en Cloud Assembly. vRealize Orchestrator En vRealize Orchestrator creamos una Action para seleccionar las redes según el Proyecto. Debe devolver un String Array y aceptar un String ...
Leer más

Instalando servicios en un cluster de Tanzu

-
Imagen
VMware Tanzu clusters, a diferencia de otras soluciones, despliega cluster de Kubernetes sin servicios preinstalados. Somos nosotros los que decidimos qué servicios van en cada cluster. Si no contamos con herramientas como Tanzu Mission Control , el desplieque de los servicios de infraestructura requiere de un poco de conocimiento. En este articulo (y los siguientes) voy a documentar cómo desplegar algunos de los servicios más instalados en los clusters. Helm y Bitnami Para la mayoría de los servicios estoy usando Helm y los servicios, si están disponibles, los obtengo desde el repositorio de Bitnami que contiene las imágenes curadas por VMware. Una vez instalado Helm, agregamos el repositorio de Bitnami: helm repo add bitnami https://charts.bitnami.com/bitnami Cert-Manager y Countour Probablemente el primer servicios que necesitamos en todos los clusters es el de "Ingress" para exponer nuestras aplicaciones con un balanceador capa 7. VMware recomienda el proyecto Co...
Leer más