Nello script precedente abbiamo visto come sia facile poter recuperare l'elenco delle immagini presenti all'interno di un cluster di Kubernetes ed eventualmente individuare tutte quelle che non provengono da un registry "sicuro" o comunque validato dalla nostra organizzazione.
Oggi, invece, vediamo quanto sia semplice applicare una policy per fare in modo che il cluster di Kubernetes ci blocchi nel fare l'apply di risorse che contengono immagini provenienti da container registry non approvati. Per farlo, ci è sufficiente creare una risorsa di tipo ValidatingWebhookConfiguration. La sua configurazione sarà simile alla seguente:
apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: name: image-validation-webhook webhooks: - name: image-validation.example.com rules: - operations: ["CREATE", "UPDATE"] apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] failurePolicy: Fail clientConfig: service: name: image-validation-webhook namespace: default path: "/validate-image"
Questo webhook è configurato per essere invocato ogni qualvolta che si tenta di fare un deploy di una risorsa di tipo Pod, anche se è facilmente estendibile ad altre risorse. Nel momento della creazione, o di un update della stessa, il webhook viene invocato e riceve in input la risorsa che si sta tentando di creare. Successivamente, passa queste informazioni ad una API chiamata "/validate-image", esposta da un altro servizio deployato all'interno del cluster stesso.
Questo servizio, a sua volta, si occuperà di verificare che le immagini specificate all'interno della risorsa siano presenti all'interno di un registry approvato. Se così non fosse, il servizio restituirà un errore che verrà riportato all'utente che ha tentato di fare il deploy della risorsa, poichè abbiamo specificato come failurePolicy il valore Fail.
E', di fatto, una semplice API che fa una valutazione del payload ricevuto in ingresso e ne controlla un parametro specifico, ovvero il container registry.
[HttpPost] public IActionResult ValidateImage([FromBody] dynamic payload) { // Estrai il nome dell'immagine dal payload string imageName = payload.image; // Verifica se l'immagine proviene da aspitalia.azurecr.io if (!imageName.StartsWith("aspitalia.azurecr.io")) { return StatusCode(403, "Non sei autorizzato a utilizzare immagini da altri registri."); } // L'immagine è valida, permetti il deployment return Ok("Validazione immagine riuscita. Il deployment può procedere."); }
Infine, non ci resta che fare l'apply del codice YAML del validating webhook.
kubectl apply -f validating-webhook.yaml
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Cache policy su route groups di Minimal API in ASP.NET Core 7
Effettuare update massivi con Entity Framework Core 7
Disabilitare automaticamente un workflow di GitHub
Elencare le container images installate in un cluster di Kubernetes
Sottoscrizione agli eventi sul contenitore in JavaScript
Effettuare il download di un file via FTP con la libreria FluentFTP di .NET
Copiare automaticamente le secret tra più repository di GitHub
Criptare la comunicazione con mTLS in Azure Container Apps
Code scanning e advanced security con Azure DevOps
Load test di ASP.NET Core con k6
Installare le Web App site extension tramite una pipeline di Azure DevOps
Utilizzare HiLo per ottimizzare le insert in un database con Entity Framework