|
| 1 | +--- |
| 2 | +title: "Polityki" |
| 3 | +weight: 90 |
| 4 | +no_list: true |
| 5 | +description: > |
| 6 | + Stosuj polityki do zarządzania bezpieczeństwem i wdrażania najlepszych praktyk. |
| 7 | +--- |
| 8 | + |
| 9 | +<!-- overview --> |
| 10 | + |
| 11 | +Polityki Kubernetesa to ustawienia kontrolujące inne konfiguracje lub sposób działania aplikacji w trakcie ich działania. Kubernetes oferuje różne formy polityk, opisane poniżej: |
| 12 | + |
| 13 | +<!-- body --> |
| 14 | + |
| 15 | +## Stosowanie polityk za pomocą obiektów API {#apply-policies-using-api-objects} |
| 16 | + |
| 17 | + Niektóre obiekty API spełniają rolę polityk. Oto kilka przykładów: |
| 18 | +* [NetworkPolicies](/docs/concepts/services-networking/network-policies/) mogą być używane do ograniczania ruchu przychodzącego i wychodzącego dla workload. |
| 19 | +* [LimitRanges](/docs/concepts/policy/limit-range/) zarządzają ograniczeniami alokacji zasobów w różnych typach obiektów. |
| 20 | +* [ResourceQuotas](/docs/concepts/policy/resource-quotas/) ogranicza zużycie zasobów dla {{< glossary_tooltip text="namespace" term_id="namespace" >}}. |
| 21 | + |
| 22 | +## Stosowanie polityk za pomocą kontrolerów dopuszczania (ang. Admission Controllers) {#apply-policies-using-admission-controllers} |
| 23 | + |
| 24 | +Kontroler dopuszczania (ang. Admission Controller - {{< glossary_tooltip text="admission controller" term_id="admission-controller" >}} |
| 25 | +) działa na serwerze API i może weryfikować lub modyfikować żądania API. Niektóre takie |
| 26 | +kontrolery działają w celu zastosowania polityk. Na przykład kontroler |
| 27 | +[AlwaysPullImages](/docs/reference/access-authn-authz/admission-controllers/#alwayspullimages) modyfikuje nowy Pod, aby ustawić politykę pobierania obrazów na `Always`. |
| 28 | + |
| 29 | +Kubernetes ma kilka wbudowanych kontrolerów dostępu, które można konfigurować za pomocą flagi `--enable-admission-plugins` serwera API. |
| 30 | + |
| 31 | +Szczegóły dotyczące kontrolerów dopuszczania są udokumentowane w dedykowanej sekcji: |
| 32 | + |
| 33 | +* [Kontrolery dopuszczania (ang. Admission Controllers)](/docs/reference/access-authn-authz/admission-controllers/) |
| 34 | + |
| 35 | +## Stosowanie polityk używając ValidatingAdmissionPolicy {#apply-policies-using-validatingadmissionpolicy} |
| 36 | + |
| 37 | +Polityki walidacji przyjmowania (ang. Validating admission policies) umożliwiają wykonywanie konfigurowalnych kontroli walidacji na serwerze API przy użyciu wspólnego języka wyrażeń (CEL). Na przykład, `ValidatingAdmissionPolicy` może być używana do zakazania użycia tagu obrazu `latest`. |
| 38 | + |
| 39 | +Polityka `ValidatingAdmissionPolicy` działa na żądaniach API i może być używana do blokowania, audytowania oraz ostrzegania użytkowników o niezgodnych konfiguracjach. |
| 40 | + |
| 41 | +Szczegóły dotyczące API `ValidatingAdmissionPolicy`, wraz z przykładami, są udokumentowane w dedykowanej sekcji: |
| 42 | +* [Walidacja Polityki Dopuszczania (ang. Validating Admission Policy)](/docs/reference/access-authn-authz/validating-admission-policy/) |
| 43 | + |
| 44 | + |
| 45 | +## Stosowanie polityk przy użyciu dynamicznej kontroli dostępu {#apply-policies-using-dynamic-admission-control} |
| 46 | + |
| 47 | +Dynamiczne kontrolery dostępu (lub webhooki dostępu) działają poza serwerem API jako oddzielne aplikacje, które rejestrują się do odbierania żądań webhooków w celu przeprowadzania weryfikacji lub modyfikacji żądań API. |
| 48 | + |
| 49 | +Dynamiczne kontrolery dopuszczeń mogą być używane do stosowania polityk na żądaniach API i uruchamiania innych procesów opartych na politykach. Dynamiczny kontroler dopuszczeń może przeprowadzać skomplikowane kontrole, w tym te, które wymagają pobierania innych zasobów klastra i danych zewnętrznych. Na przykład, kontrola weryfikacji obrazu może wyszukiwać dane z rejestrów OCI, aby zatwierdzić podpisy i atestacje obrazów kontenerów. |
| 50 | + |
| 51 | +Szczegóły dotyczące dynamicznej kontroli dostępu są udokumentowane w dedykowanej sekcji: |
| 52 | +* [Dynamiczne Sterowanie Dostępem](/docs/reference/access-authn-authz/extensible-admission-controllers/) |
| 53 | + |
| 54 | +### Implementacje {#implementations-admission-control} |
| 55 | + |
| 56 | +{{% thirdparty-content %}} |
| 57 | + |
| 58 | +Dynamiczne kontrolery dopuszczeń (Admission Controllers), które działają jako elastyczne silniki polityki, są rozwijane w ekosystemie Kubernetesa: |
| 59 | +- [Kubewarden](https://github.com/kubewarden) |
| 60 | +- [Kyverno](https://kyverno.io) |
| 61 | +- [OPA Gatekeeper](https://github.com/open-policy-agent/gatekeeper) |
| 62 | +- [Polaris](https://polaris.docs.fairwinds.com/admission-controller/) |
| 63 | + |
| 64 | +## Stosowanie zasad za pomocą konfiguracji Kubelet {#apply-policies-using-kubelet-configurations} |
| 65 | + |
| 66 | +Kubernetes pozwala na konfigurowanie Kubelet na każdym węźle roboczym. Niektóre konfiguracje Kubelet działają jako polityki: |
| 67 | +* [Limity i rezerwacje identyfikatorów procesów](/docs/concepts/policy/pid-limiting/) są używane do ograniczania i rezerwacji dostępnych PID-ów. |
| 68 | +* [Menedżery zasobów węzła](/docs/concepts/policy/node-resource-managers/) mogą zarządzać zasobami obliczeniowymi, pamięci oraz urządzeniami dla workloadów krytycznych pod względem opóźnień i o wysokiej przepustowości. |
0 commit comments