{"id":328392,"date":"2022-01-21T15:00:53","date_gmt":"2022-01-21T15:00:53","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=328392"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=328392","title":{"rendered":"<span>\u041f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0440\u0430\u0431\u043e\u0447\u0438\u043c\u0438 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430\u043c\u0438 \u0432 Kubernetes<\/span>"},"content":{"rendered":"<div><img loading=\"lazy\" decoding=\"async\" height=\"1\" src=\"https:\/\/www.facebook.com\/tr?id=2004216989903634&amp;ev=habr_k8s&amp;noscript=1\" width=\"1\" style=\"display: none;\"><img loading=\"lazy\" decoding=\"async\" height=\"1\" src=\"https:\/\/www.facebook.com\/tr?id=2004216989903634&amp;ev=habr_devops&amp;noscript=1\" width=\"1\" style=\"display: none;\"><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body_version-1\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\"><img decoding=\"async\" src=\"\/img\/image-loader.svg\" data-src=\"https:\/\/habrastorage.org\/webt\/lm\/am\/un\/lmamuncosju-phfbaynrdue-boy.png\"\/><br \/>  <a href=\"https:\/\/www.deviantart.com\/matthias-haker\/art\/Control-548364683\">Control by Matthias-Haker<\/a><\/p>\n<p>  \u0412 Kubernetes \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0442\u0438\u0442\u044c \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0445 \u0440\u0430\u0431\u043e\u0447\u0438\u0445 \u043d\u0430\u0433\u0440\u0443\u0437\u043e\u043a \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435.\u00a0<br \/>  <a name=\"habracut\"><\/a><br \/>  \u041a\u043e\u043c\u0430\u043d\u0434\u0430 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438 <a href=\"https:\/\/mcs.mail.ru\/containers\/\">Kubernetes aaS VK Cloud Solutions<\/a> \u043f\u0435\u0440\u0435\u0432\u0435\u043b\u0430 \u0441\u0442\u0430\u0442\u044c\u044e \u043e \u0442\u043e\u043c, \u043a\u0430\u043a \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0442\u044c \u0442\u0430\u043a\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440\u00a0<a href=\"https:\/\/github.com\/open-policy-agent\/conftest\">conftest<\/a>, \u0438 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u043d\u044b\u0445 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u043e\u0432, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440\u00a0<a href=\"https:\/\/github.com\/open-policy-agent\/gatekeeper\">Gatekeeper<\/a>.<\/p>\n<h2>\u041a\u043e\u0433\u0434\u0430 \u043d\u0443\u0436\u043d\u044b \u0441\u0442\u0440\u043e\u0433\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438<\/h2>\n<p>  \u0427\u0430\u0449\u0435 \u0432\u0441\u0435\u0433\u043e \u0441\u0442\u0440\u043e\u0433\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442 \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435 \u0434\u043b\u044f \u0441\u043e\u0431\u043b\u044e\u0434\u0435\u043d\u0438\u044f \u043d\u043e\u0440\u043c\u0430\u0442\u0438\u0432\u043d\u044b\u0445 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u0439. \u041d\u043e \u0435\u0441\u0442\u044c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u0430\u043a\u0442\u0438\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435 \u0440\u0435\u0433\u0443\u043b\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f\u043c\u0438, \u043d\u043e \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u044e\u0442\u0441\u044f \u0434\u043b\u044f \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u043e\u0432:<\/p>\n<ul>\n<li>\u043d\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043f\u043e\u0434\u044b;  <\/li>\n<li>\u043d\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u043f\u043e\u0434\u044b \u043a\u0430\u043a root-\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c;  <\/li>\n<li>\u043d\u0435 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u043b\u0438\u043c\u0438\u0442\u044b \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432;  <\/li>\n<li>\u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0442\u0435\u0433 latest \u0434\u043b\u044f \u043e\u0431\u0440\u0430\u0437\u0430 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430;  <\/li>\n<li>\u043d\u0435 \u0432\u043a\u043b\u044e\u0447\u0430\u0442\u044c \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 Linux capabilities \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e.  <\/li>\n<\/ul>\n<p>  \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u0432\u0430\u043c \u043c\u043e\u0433\u0443\u0442 \u043f\u043e\u043d\u0430\u0434\u043e\u0431\u0438\u0442\u044c\u0441\u044f \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0435 \u043e\u0431\u0449\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440:<\/p>\n<ul>\n<li>\u0432\u0441\u0435 \u0440\u0430\u0431\u043e\u0447\u0438\u0435 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0434\u043e\u043b\u0436\u043d\u044b \u0438\u043c\u0435\u0442\u044c \u043c\u0435\u0442\u043a\u0438 project \u0438 app;  <\/li>\n<li>\u0432\u0441\u0435 \u0440\u0430\u0431\u043e\u0447\u0438\u0435 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0434\u043e\u043b\u0436\u043d\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043e\u0431\u0440\u0430\u0437\u044b \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u043e\u0432 \u0438\u0437 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0440\u0435\u0435\u0441\u0442\u0440\u0430 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u043e\u0432, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 my-company.com.  <\/li>\n<\/ul>\n<p>  \u0421\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0438 \u0442\u0440\u0435\u0442\u044c\u044f \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043e\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u043d\u043e\u0433\u0434\u0430 \u043d\u0443\u0436\u043d\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u0442\u044c \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438, \u0447\u0442\u043e\u0431\u044b \u0438\u0437\u0431\u0435\u0436\u0430\u0442\u044c \u0441\u0431\u043e\u0435\u0432 \u0432 \u0440\u0430\u0431\u043e\u0442\u0435 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043a\u043e\u0433\u0434\u0430 \u0434\u0432\u0430 \u0440\u0430\u0437\u043d\u044b\u0445 \u0441\u0435\u0440\u0432\u0438\u0441\u0430 \u043d\u0435 \u0434\u043e\u043b\u0436\u043d\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043e\u0434\u043d\u043e \u0438 \u0442\u043e \u0436\u0435 \u0438\u043c\u044f \u0445\u043e\u0441\u0442\u0430 ingress.<\/p>\n<p>  \u041c\u044b \u0440\u0430\u0441\u0441\u043a\u0430\u0436\u0435\u043c \u043e \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u0438 \u043f\u043e\u043b\u0438\u0442\u0438\u043a \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0447\u0438\u0445 \u043d\u0430\u0433\u0440\u0443\u0437\u043e\u043a Kubernetes \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0432\u043d\u0435\u043a\u043b\u0430\u0441\u0442\u0435\u0440\u043d\u044b\u0445 \u0438 \u0432\u043d\u0443\u0442\u0440\u0438\u043a\u043b\u0430\u0441\u0442\u0435\u0440\u043d\u044b\u0445 \u0440\u0435\u0448\u0435\u043d\u0438\u0439. \u042d\u0442\u0438 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u043e\u0442\u043a\u043b\u043e\u043d\u044f\u044e\u0442 \u0440\u0430\u0431\u043e\u0447\u0438\u0435 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0442 \u0437\u0430\u0434\u0430\u043d\u043d\u044b\u043c \u0443\u0441\u043b\u043e\u0432\u0438\u044f\u043c.<\/p>\n<p>  \u0417\u0430 \u043f\u0440\u0435\u0434\u0435\u043b\u0430\u043c\u0438 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430 \u044d\u0442\u043e \u0434\u043e\u0441\u0442\u0438\u0433\u0430\u044e\u0442 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u043f\u0440\u043e\u0432\u0435\u0440\u043e\u043a YAML-\u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u043e\u0432 \u043f\u0435\u0440\u0435\u0434 \u0438\u0445 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u043e\u0439 \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440. \u0412\u043d\u0443\u0442\u0440\u0438 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0449\u0438\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u0434\u043e\u043f\u0443\u0441\u043a\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0432\u044b\u0437\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0432 \u0441\u043e\u0441\u0442\u0430\u0432\u0435 API-\u0437\u0430\u043f\u0440\u043e\u0441\u0430 \u043f\u0435\u0440\u0435\u0434 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0435\u043c \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u0430 \u0432 \u0431\u0430\u0437\u0435 \u0434\u0430\u043d\u043d\u044b\u0445.<\/p>\n<p>  \u041f\u043e \u0445\u043e\u0434\u0443 \u0441\u0442\u0430\u0442\u044c\u0438 \u0432\u0430\u043c \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u0438\u0433\u043e\u0434\u0438\u0442\u044c\u0441\u044f <a href=\"https:\/\/github.com\/amitsaha\/kubernetes-policy-enforcement-demo\">\u044d\u0442\u043e\u0442\u00a0Git-\u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0439<\/a>.<\/p>\n<h2>\u0421\u0438\u0442\u0443\u0430\u0446\u0438\u044f: Deployment, \u043d\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0439 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f\u043c<\/h2>\n<p>  \u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 YAML-\u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442:<\/p>\n<pre><code class=\"plaintext\">apiVersion: apps\/v1 kind: Deployment metadata: \u00a0\u00a0name: http-echo \u00a0\u00a0labels: \u00a0\u00a0\u00a0\u00a0app: http-echo spec: \u00a0\u00a0replicas: 2 \u00a0\u00a0selector: \u00a0\u00a0\u00a0\u00a0matchLabels: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0app: http-echo \u00a0\u00a0template: \u00a0\u00a0\u00a0\u00a0metadata: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0labels: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0app: http-echo \u00a0\u00a0\u00a0\u00a0spec: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0containers: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- name: http-echo \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image: hashicorp\/http-echo \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0args: [\"-text\", \"hello-world\"] \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- name: http-echo-1 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image: hashicorp\/http-echo:latest \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0args: [\"-text\", \"hello-world\"]<\/code><\/pre>\n<p>  \u0418\u0437 \u043e\u0434\u043d\u043e\u0433\u043e \u043e\u0431\u0440\u0430\u0437\u0430 \u044d\u0442\u043e\u0442 Deployment \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u043f\u043e\u0434, \u0441\u043e\u0441\u0442\u043e\u044f\u0449\u0438\u0439 \u0438\u0437 \u0434\u0432\u0443\u0445 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u043e\u0432. \u0412 \u043f\u0435\u0440\u0432\u043e\u043c \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0435 \u043d\u0435 \u0443\u043a\u0430\u0437\u0430\u043d \u043d\u0438\u043a\u0430\u043a\u043e\u0439 \u0442\u0435\u0433, \u0432\u043e \u0432\u0442\u043e\u0440\u043e\u043c \u2014 \u0442\u0435\u0433 <code>latest.<\/code> \u0424\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043e\u0431\u0430 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u044e\u044e \u0432\u0435\u0440\u0441\u0438\u044e \u043e\u0431\u0440\u0430\u0437\u0430 hashicorp\/http-echo. \u042d\u0442\u043e \u043d\u0435 \u0441\u0430\u043c\u044b\u0439 \u043b\u0443\u0447\u0448\u0438\u0439 \u0432\u0430\u0440\u0438\u0430\u043d\u0442, \u0438 \u0432\u0430\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0437\u0430\u043f\u0440\u0435\u0442\u0438\u0442\u044c \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435 \u0442\u0430\u043a\u043e\u0435 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435. \u041b\u0443\u0447\u0448\u0435 \u0432\u0441\u0435\u0433\u043e \u043f\u0440\u0438\u043a\u0440\u0435\u043f\u0438\u0442\u044c \u043a \u043e\u0431\u0440\u0430\u0437\u0443 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u0442\u0435\u0433, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440\u00a0<code>hashicorp\/http-echo:0.2.3.<\/code><\/p>\n<p>  \u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u043a\u0430\u043a \u043c\u043e\u0436\u043d\u043e <b>\u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u043d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438<\/b>. \u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043d\u0430\u043c \u043d\u0443\u0436\u043d\u043e, \u0447\u0442\u043e\u0431\u044b \u0440\u0435\u0441\u0443\u0440\u0441 \u043d\u0435 \u043f\u043e\u043f\u0430\u043b \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440, \u044d\u0442\u0443 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u043d\u0443\u0436\u043d\u043e \u043f\u0440\u043e\u0432\u043e\u0434\u0438\u0442\u044c:<\/p>\n<ul>\n<li>\u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 Git pre-commit \u2014 \u0434\u043e \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u0440\u0435\u0441\u0443\u0440\u0441\u0430 \u0432 Git;  <\/li>\n<li>\u0432 \u043a\u043e\u043d\u0432\u0435\u0439\u0435\u0440\u0435 CI\/CD \u2014 \u0434\u043e \u043c\u0435\u0440\u0434\u0436\u0430 \u0432\u0435\u0442\u043a\u0438 \u0432 \u043e\u0441\u043d\u043e\u0432\u043d\u0443\u044e;  <\/li>\n<li>\u0432 \u043a\u043e\u043d\u0432\u0435\u0439\u0435\u0440\u0435 CI\/CD \u2014 \u0434\u043e \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u0440\u0435\u0441\u0443\u0440\u0441\u0430 \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440.  <\/li>\n<\/ul>\n<p>  <\/p>\n<h2>\u041f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Conftest<\/h2>\n<p>  <a href=\"https:\/\/conftest.dev\/\">Conftest<\/a> \u2014 \u044d\u0442\u043e \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0438 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a \u0434\u043b\u044f \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u043e\u0432 \u0432 Kubernetes. \u0422\u0435\u0441\u0442\u044b \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u044f\u0437\u044b\u043a\u0430 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432\u00a0<a href=\"https:\/\/www.openpolicyagent.org\/docs\/latest\/policy-language\/\">Rego<\/a>.<\/p>\n<p>  \u0414\u043b\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 Conftest \u0441\u043b\u0435\u0434\u0443\u0439\u0442\u0435\u00a0\u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044f\u043c\u00a0\u043d\u0430 \u0441\u0430\u0439\u0442\u0435 \u043f\u0440\u043e\u0435\u043a\u0442\u0430. \u041d\u0430 \u043c\u043e\u043c\u0435\u043d\u0442 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u0441\u0442\u0430\u0442\u044c\u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u0430 \u0432\u0435\u0440\u0441\u0438\u044f Conftest 0.19.0.<\/p>\n<p>  \u041e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043c \u0434\u0432\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438:<\/p>\n<pre><code class=\"plaintext\">package main  deny[msg] { \u00a0\u00a0input.kind == \"Deployment\" \u00a0\u00a0image := input.spec.template.spec.containers[_].image \u00a0\u00a0not count(split(image, \":\")) == 2 \u00a0\u00a0msg := sprintf(\"image '%v' doesn't specify a valid tag\", [image]) }  deny[msg] { \u00a0\u00a0input.kind == \"Deployment\" \u00a0\u00a0image := input.spec.template.spec.containers[_].image \u00a0\u00a0endswith(image, \"latest\") \u00a0\u00a0msg := sprintf(\"image '%v' uses latest tag\", [image]) }<\/code><\/pre>\n<p>  \u0414\u043e\u0433\u0430\u0434\u0430\u0435\u0442\u0435\u0441\u044c, \u0447\u0442\u043e \u043e\u043d\u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0442? \u041e\u0431\u0430 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u043a Deployment \u0438 \u043f\u0440\u0435\u0434\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u044b \u0434\u043b\u044f \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u0438\u043c\u0435\u043d\u0438 \u043e\u0431\u0440\u0430\u0437\u0430 \u0438\u0437 \u0440\u0430\u0437\u0434\u0435\u043b\u0430\u00a0<code>spec.container<\/code>. \u041f\u0435\u0440\u0432\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u0443\u0435\u0442, \u0435\u0441\u0442\u044c \u043b\u0438 \u0432 \u043e\u0431\u0440\u0430\u0437\u0435 \u0437\u0430\u0434\u0430\u043d\u043d\u044b\u0439 \u0442\u0435\u0433.<\/p>\n<pre><code class=\"plaintext\">package main  deny[msg] { \u00a0\u00a0input.kind == \"Deployment\" \u00a0\u00a0image := input.spec.template.spec.containers[_].image \u00a0\u00a0not count(split(image, \":\")) == 2 \u00a0\u00a0msg := sprintf(\"image '%v' doesn't specify a valid tag\", [image]) }  deny[msg] { \u00a0\u00a0input.kind == \"Deployment\" \u00a0\u00a0image := input.spec.template.spec.containers[_].image \u00a0\u00a0endswith(image, \"latest\") \u00a0\u00a0msg := sprintf(\"image '%v' uses latest tag\", [image]) }<\/code><\/pre>\n<p>  \u0412\u0442\u043e\u0440\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u0443\u0435\u0442, \u0447\u0442\u043e \u0437\u0430\u0434\u0430\u043d\u043d\u044b\u0439 \u0442\u0435\u0433 \u2014 \u043d\u0435 <code>latest<\/code>.<\/p>\n<pre><code class=\"plaintext\">package main  deny[msg] { \u00a0\u00a0input.kind == \"Deployment\" \u00a0\u00a0image := input.spec.template.spec.containers[_].image \u00a0\u00a0not count(split(image, \":\")) == 2 \u00a0\u00a0msg := sprintf(\"image '%v' doesn't specify a valid tag\", [image]) } \u00a0 deny[msg] { \u00a0\u00a0input.kind == \"Deployment\" \u00a0\u00a0image := input.spec.template.spec.containers[_].image \u00a0\u00a0endswith(image, \"latest\") \u00a0\u00a0msg := sprintf(\"image '%v' uses latest tag\", [image]) }<\/code><\/pre>\n<p>  \u0414\u0432\u0430 \u0431\u043b\u043e\u043a\u0430\u00a0<code> deny<\/code> \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u044e\u0442 \u043d\u0435\u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0435, \u0435\u0441\u043b\u0438 \u0438\u0445 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f <code>true<\/code>.<\/p>\n<p>  \u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435: \u0435\u0441\u043b\u0438 \u0431\u043b\u043e\u043a\u043e\u0432 <code>deny <\/code> \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e, Conftest \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u0438\u0445 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e \u0434\u0440\u0443\u0433 \u043e\u0442 \u0434\u0440\u0443\u0433\u0430, \u0438 \u043e\u0431\u0449\u0438\u0439 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u2014 \u043d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u0435 \u0445\u043e\u0442\u044f \u0431\u044b \u0432 \u043e\u0434\u043d\u043e\u043c \u0438\u0437 \u0431\u043b\u043e\u043a\u043e\u0432.<\/p>\n<p>  \u0422\u0435\u043f\u0435\u0440\u044c \u0441\u043e\u0445\u0440\u0430\u043d\u0438\u043c \u0444\u0430\u0439\u043b \u043a\u0430\u043a\u00a0<code>check_image_tag.rego<\/code>\u00a0\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u043c <code>conftest <\/code>\u0434\u043b\u044f \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u0430\u00a0<code>deployment.yaml:<\/code><\/p>\n<pre><code class=\"plaintext\">$ conftest test -p conftest-checks test-data\/deployment.yaml FAIL \u2013 test-data\/deployment.yaml - image 'hashicorp\/http-echo' doesn't specify a valid tag FAIL \u2013 test-data\/deployment.yaml - image 'hashicorp\/http-echo:latest' uses latest tag 2 tests, 0 passed, 0 warnings, 2 failures<\/code><\/pre>\n<p>  \u041e\u0442\u043b\u0438\u0447\u043d\u043e, \u043e\u043d \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b \u043e\u0431\u0430 \u043d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u044f.<\/p>\n<p>  \u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443\u00a0Conftest\u00a0\u2014\u00a0 \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442, \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u0434\u043e \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 YAML-\u0444\u0430\u0439\u043b\u0430 \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440.<\/p>\n<p>  \u0415\u0441\u043b\u0438 \u0432\u044b \u0443\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0435 \u043a\u043e\u043d\u0432\u0435\u0439\u0435\u0440 CI\/CD \u0434\u043b\u044f \u0432\u043d\u0435\u0441\u0435\u043d\u0438\u044f \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439 \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440, \u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u0435\u0449\u0435 \u043e\u0434\u043d\u043e \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u0432\u0441\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u044b \u043d\u0430 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430\u043c Conftest.<\/p>\n<p>  \u041d\u043e \u043f\u043e\u043c\u0435\u0448\u0430\u0435\u0442 \u043b\u0438 \u044d\u0442\u043e \u043a\u043e\u043c\u0443-\u043d\u0438\u0431\u0443\u0434\u044c \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c Deployment \u0441 \u0442\u0435\u0433\u043e\u043c <code>latest<\/code>? \u041a\u043e\u043d\u0435\u0447\u043d\u043e, \u043b\u044e\u0431\u043e\u0439 \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0441 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u043c\u0438 \u043f\u0440\u0430\u0432\u0430\u043c\u0438 <b>\u043c\u043e\u0436\u0435\u0442 \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0440\u0430\u0431\u043e\u0447\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0432 \u0432\u0430\u0448\u0435\u043c \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435 \u0438 \u043f\u0440\u043e\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u043a\u043e\u043d\u0432\u0435\u0439\u0435\u0440\u0430 CI\/CD<\/b>.<\/p>\n<p>  \u0415\u0441\u043b\u0438 \u0432\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c\u00a0<code>kubectl apply -f deployment.yaml<\/code>, \u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0438\u0433\u043d\u043e\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c Conftest, \u0438 \u043a\u043b\u0430\u0441\u0442\u0435\u0440 \u0431\u0443\u0434\u0435\u0442 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u043e\u0431\u0440\u0430\u0437\u044b \u0441 \u0442\u0435\u0433\u043e\u043c <code>latest<\/code>.<\/p>\n<p>  \u041a\u0430\u043a \u043f\u043e\u043c\u0435\u0448\u0430\u0442\u044c \u043a\u043e\u043c\u0443-\u043b\u0438\u0431\u043e \u043e\u0431\u043e\u0439\u0442\u0438 \u0432\u0430\u0448\u0438 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438? \u041a \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0435 \u043c\u043e\u0436\u043d\u043e \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u0438\u0435, \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u044b\u0435 \u0432\u043d\u0443\u0442\u0440\u0438 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430, \u0447\u0442\u043e\u0431\u044b \u043e\u0442\u043a\u043b\u043e\u043d\u0438\u0442\u044c \u0440\u0435\u0441\u0443\u0440\u0441 \u043f\u043e\u0441\u043b\u0435 \u0435\u0433\u043e \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440.<\/p>\n<h2>API Kubernetes\u00a0<\/h2>\n<p>  \u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u0432\u0441\u043f\u043e\u043c\u043d\u0438\u043c, \u0447\u0442\u043e \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442, \u043a\u043e\u0433\u0434\u0430 \u0432\u044b \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0435 \u0442\u0430\u043a\u043e\u0439 \u043f\u043e\u0434 \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435:<\/p>\n<pre><code class=\"plaintext\">apiVersion: v1 kind: Pod metadata: \u00a0\u00a0name: my-pod spec: \u00a0\u00a0containers: \u00a0\u00a0- name: sise \u00a0\u00a0\u00a0\u00a0image: learnk8s\/app:1.0.0 \u00a0\u00a0\u00a0\u00a0ports: \u00a0\u00a0\u00a0\u00a0- containerPort: 8080<\/code><\/pre>\n<p>  \u0414\u0430\u043b\u0435\u0435 \u0432\u044b \u0440\u0430\u0437\u0432\u043e\u0440\u0430\u0447\u0438\u0432\u0430\u0435\u0442\u0435 \u0435\u0433\u043e \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439:<\/p>\n<pre><code class=\"plaintext\">$kubectl apply -f pod.yaml<\/code><\/pre>\n<p>  \u041f\u043e\u0442\u043e\u043c \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435:  <\/p>\n<ol>\n<li>\u041e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435 YAML \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440 API \u0438 \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0435\u0442\u0441\u044f \u0432 etcd.  <\/li>\n<li>\u041f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0449\u0438\u043a \u0437\u0430\u043a\u0440\u0435\u043f\u043b\u044f\u0435\u0442 \u043f\u043e\u0434 \u0437\u0430 \u0443\u0437\u043b\u043e\u043c.  <\/li>\n<li>kubelet \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043f\u043e\u0434\u0430 \u0438 \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0435\u0433\u043e.  <\/li>\n<\/ol>\n<p>  \u041f\u043e \u043a\u0440\u0430\u0439\u043d\u0435\u0439 \u043c\u0435\u0440\u0435, \u0442\u0430\u043a\u043e\u0432\u043e \u043e\u0431\u0449\u0435\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0435. \u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u043a\u0430\u043a \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043f\u0435\u0440\u0432\u044b\u0439 \u043f\u0443\u043d\u043a\u0442:  <\/p>\n<ol>\n<li><code>kubectl apply -f deployment.yaml<\/code>\u00a0\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0437\u0430\u043f\u0440\u043e\u0441\u0430 \u0432 Control Plane \u0434\u043b\u044f \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0442\u0440\u0435\u0445 \u0440\u0435\u043f\u043b\u0438\u043a.  <\/li>\n<li>API \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0437\u0430\u043f\u0440\u043e\u0441 \u0438 \u0434\u0430\u043d\u043d\u044b\u0435 JSON \u2014\u00a0<code>kubectl<\/code>\u00a0\u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u043e\u0432\u0430\u043b \u0440\u0435\u0441\u0443\u0440\u0441 YAML \u0432 JSON.  <\/li>\n<li>\u0421\u0435\u0440\u0432\u0435\u0440 API \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0435\u0442 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435 \u043e\u0431\u044a\u0435\u043a\u0442\u0430 \u0432 \u0431\u0430\u0437\u0435 \u0434\u0430\u043d\u043d\u044b\u0445.  <\/li>\n<li>\u041e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435 YAML \u0442\u0435\u043f\u0435\u0440\u044c \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432 etcd.  <\/li>\n<\/ol>\n<p>  \u041d\u043e \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043b\u0438 \u043f\u043e\u0434 \u043a\u0430\u043f\u043e\u0442\u043e\u043c \u0432\u0441\u0451 \u0442\u0430\u043a \u043f\u0440\u043e\u0441\u0442\u043e? \u0427\u0442\u043e \u043f\u0440\u043e\u0438\u0437\u043e\u0439\u0434\u0435\u0442, \u0435\u0441\u043b\u0438 \u0432 YAML \u0431\u0443\u0434\u0435\u0442 \u043e\u043f\u0435\u0447\u0430\u0442\u043a\u0430? \u0427\u0442\u043e \u043c\u0435\u0448\u0430\u0435\u0442 \u0432\u0430\u043c \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u043d\u0435\u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0438\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u044b \u0432 etcd?<\/p>\n<p>  \u041a\u043e\u0433\u0434\u0430 \u0432\u044b \u043d\u0430\u0431\u0438\u0440\u0430\u0435\u0442\u0435\u00a0<code>kubectl apply<\/code>, \u0432 \u0434\u0435\u043b\u043e \u0432\u0441\u0442\u0443\u043f\u0430\u0435\u0442 \u0434\u0432\u043e\u0438\u0447\u043d\u044b\u0439 \u0444\u0430\u0439\u043b kubectl. \u041e\u043d:  <\/p>\n<ol>\n<li>\u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u0440\u0435\u0441\u0443\u0440\u0441 \u0441\u043e \u0441\u0442\u043e\u0440\u043e\u043d\u044b \u043a\u043b\u0438\u0435\u043d\u0442\u0430 \u2014 \u043d\u0435\u0442 \u043b\u0438 \u043e\u0447\u0435\u0432\u0438\u0434\u043d\u043e\u0439 \u043e\u0448\u0438\u0431\u043a\u0438;  <\/li>\n<li>\u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u0443\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 YAML \u0432 JSON;  <\/li>\n<li>\u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u0437 KUBECONFIG;  <\/li>\n<li>\u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u0437\u0430\u043f\u0440\u043e\u0441 \u0441 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u043d\u0430\u00a0kube-apiserver.  <\/li>\n<\/ol>\n<p>  \u041a\u043e\u0433\u0434\u0430\u00a0kube-apiserver\u00a0\u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0437\u0430\u043f\u0440\u043e\u0441, \u043e\u043d \u043d\u0435 \u0441\u0440\u0430\u0437\u0443 \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0435\u0442 \u0435\u0433\u043e \u0432 etcd. \u0421\u043d\u0430\u0447\u0430\u043b\u0430 \u0435\u043c\u0443 \u043d\u0443\u0436\u043d\u043e \u0443\u0431\u0435\u0434\u0438\u0442\u044c\u0441\u044f \u0432 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u043e\u0441\u0442\u0438 \u0438\u043d\u0438\u0446\u0438\u0430\u0442\u043e\u0440\u0430 \u0437\u0430\u043f\u0440\u043e\u0441\u0430. \u0418\u043d\u044b\u043c\u0438 \u0441\u043b\u043e\u0432\u0430\u043c\u0438,\u00a0<a href=\"https:\/\/kubernetes.io\/docs\/reference\/access-authn-authz\/authentication\/\">\u043e\u043d \u0434\u043e\u043b\u0436\u0435\u043d \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c \u043f\u043e\u0434\u043b\u0438\u043d\u043d\u043e\u0441\u0442\u044c \u0437\u0430\u043f\u0440\u043e\u0441\u0430.<\/a><\/p>\n<p>  \u0423 \u0432\u0430\u0441 \u0435\u0441\u0442\u044c \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u043d\u0430 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432 \u043f\u043e\u0441\u043b\u0435 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438? <b>\u0412\u0435\u0434\u044c \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u0438 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u044f \u2014 \u044d\u0442\u043e \u043d\u0435 \u043e\u0434\u043d\u043e \u0438 \u0442\u043e \u0436\u0435<\/b>. \u0414\u043e\u0441\u0442\u0443\u043f \u043a \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0443 \u043d\u0435 \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442, \u0447\u0442\u043e \u0432\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u0438\u043b\u0438 \u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0442\u044c \u0432\u0441\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u044b.<\/p>\n<p>  \u0414\u043b\u044f \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0447\u0430\u0441\u0442\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f\u00a0<a href=\"https:\/\/kubernetes.io\/docs\/reference\/access-authn-authz\/rbac\/\">\u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u0440\u043e\u043b\u0435\u0439 (RBAC)<\/a>. \u0421 \u0435\u0433\u043e \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0437\u043d\u0430\u0447\u0430\u0442\u044c \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0435 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0438 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0432\u0430\u0442\u044c \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0438\u043b\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f. \u041d\u0430 \u044d\u0442\u043e\u043c \u044d\u0442\u0430\u043f\u0435 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044e \u0438 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u044e \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 kube-apiserver.<\/p>\n<p>  API-\u0441\u0435\u0440\u0432\u0435\u0440 \u0447\u0430\u0441\u0442\u043e \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u044e\u0442 \u043a\u0430\u043a \u0435\u0434\u0438\u043d\u044b\u0439 \u0431\u043b\u043e\u043a. \u041d\u043e \u044d\u0442\u043e \u043d\u0435 \u0442\u0430\u043a, \u043d\u0430 \u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435 \u043e\u043d \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/webt\/yh\/ks\/ez\/yhksezrfrvuyuaa4ykhobkktg9s.jpeg\" data-src=\"https:\/\/habrastorage.org\/webt\/yh\/ks\/ez\/yhksezrfrvuyuaa4ykhobkktg9s.jpeg\" data-blurred=\"true\"\/><\/p>\n<p>  \u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u043a\u0430\u043a \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0442 \u044d\u0442\u0438 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b:  <\/p>\n<ol>\n<li>HTTP-\u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u0442 \u0438 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 HTTP-\u0437\u0430\u043f\u0440\u043e\u0441\u044b.  <\/li>\n<li>\u0417\u0430\u0442\u0435\u043c API \u0432\u0435\u0440\u0438\u0444\u0438\u0446\u0438\u0440\u0443\u0435\u0442 \u0432\u044b\u0437\u044b\u0432\u0430\u044e\u0449\u0443\u044e \u0441\u0442\u043e\u0440\u043e\u043d\u0443, \u0441\u043f\u0440\u0430\u0448\u0438\u0432\u0430\u044f: \u00ab<i>\u0412\u044b \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430?\u00bb<br \/>  <\/i><br \/>  \u041d\u043e \u0434\u0430\u0436\u0435 \u0435\u0441\u043b\u0438 \u0432\u044b \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c, \u044d\u0442\u043e \u043d\u0435 \u0433\u0430\u0440\u0430\u043d\u0442\u0438\u0440\u0443\u0435\u0442 \u0434\u043e\u0441\u0442\u0443\u043f \u043a\u043e \u0432\u0441\u0435\u043c \u0440\u0435\u0441\u0443\u0440\u0441\u0430\u043c. \u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u0432\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u043f\u043e\u0434\u044b, \u043d\u043e \u043d\u0435 \u0441\u0435\u043a\u0440\u0435\u0442\u044b. \u041d\u0430 \u044d\u0442\u043e\u043c \u044d\u0442\u0430\u043f\u0435 \u0432\u0430\u0448\u0430 \u0443\u0447\u0435\u0442\u043d\u0430\u044f \u0437\u0430\u043f\u0438\u0441\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442\u0441\u044f \u043d\u0430 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c RBAC.\u00a0  <\/li>\n<\/ol>\n<p>  \u0410 \u043f\u043e\u0441\u043b\u0435 \u044d\u0442\u0438\u0445 \u043f\u0440\u043e\u0432\u0435\u0440\u043e\u043a \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u043a\u043e\u043d\u0435\u0446 \u0441\u043e\u0445\u0440\u0430\u043d\u0438\u0442\u044c \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435 \u043f\u043e\u0434\u0430 \u0432 etcd? \u041d\u0435 \u0441\u043f\u0435\u0448\u0438\u0442\u0435. <code>kube-apiserver<\/code>\u00a0\u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043a\u0430\u043a \u043a\u043e\u043d\u0432\u0435\u0439\u0435\u0440. \u0417\u0430\u043f\u0440\u043e\u0441 \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u0442 \u0440\u044f\u0434 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0438 \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u043e\u0442\u043e\u043c \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0435\u0442\u0441\u044f \u0432 \u0431\u0430\u0437\u0435 \u0434\u0430\u043d\u043d\u044b\u0445.<\/p>\n<p>  \u0410\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u044f \u0438 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u2014 \u044d\u0442\u043e \u043f\u0435\u0440\u0432\u044b\u0435 \u0434\u0432\u0430 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430, \u043d\u043e \u043e\u043d\u0438 \u043d\u0435 \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435. \u0414\u043e \u043f\u043e\u043f\u0430\u0434\u0430\u043d\u0438\u044f \u0432 \u0431\u0430\u0437\u0443 \u0434\u0430\u043d\u043d\u044b\u0445 \u043e\u0431\u044a\u0435\u043a\u0442 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u044e\u0442 <a href=\"https:\/\/kubernetes.io\/docs\/reference\/access-authn-authz\/admission-controllers\/\">\u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u0434\u043e\u043f\u0443\u0441\u043a\u0430<\/a>:<\/p>\n<p>  <img decoding=\"async\" src=\"\/img\/image-loader.svg\" data-src=\"https:\/\/habrastorage.org\/webt\/uh\/-8\/fb\/uh-8fbvc_w88mtcxuf4ndnbi9xa.png\"\/><br \/>  \u041d\u0430 \u044d\u0442\u043e\u043c \u044d\u0442\u0430\u043f\u0435 \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0438\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0442\u0435\u043a\u0443\u0449\u0435\u0433\u043e \u0440\u0435\u0441\u0443\u0440\u0441\u0430. \u0410 \u0432 Kubernetes \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u043e \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u043e\u0432 \u0434\u043e\u043f\u0443\u0441\u043a\u0430.<\/p>\n<p>  \u0412\u0441\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b, \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u043d\u044b\u0435 \u0432 minikube, \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043a\u043e\u043c\u0430\u043d\u0434\u044b\u00a0<code>kubectl -n kube-system describe pod kube-apiserver-minikube<\/code>. \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0434\u043e\u043b\u0436\u0435\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442\u044c \u0444\u043b\u0430\u0433<code>\u00a0--enable-admission-plugins<\/code>\u00a0\u0438 \u0441\u043f\u0438\u0441\u043e\u043a \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u043e\u0432.<\/p>\n<p>  \u0414\u043b\u044f \u043f\u0440\u0438\u043c\u0435\u0440\u0430 \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440 \u0434\u043e\u043f\u0443\u0441\u043a\u0430\u00a0<code>NamespaceLifecycle<\/code>.<\/p>\n<h2>\u041f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0449\u0438\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u0434\u043e\u043f\u0443\u0441\u043a\u0430<\/h2>\n<p>  \u041a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440 \u0434\u043e\u043f\u0443\u0441\u043a\u0430\u00a0<code>NamespaceLifecycle<\/code>\u00a0\u043d\u0435 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u043f\u043e\u0434\u044b \u0432 \u0435\u0449\u0435 \u043d\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0445 \u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0441\u0442\u0432\u0430\u0445 \u0438\u043c\u0435\u043d.<\/p>\n<p>  \u041f\u043e\u0434 \u0441 \u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0441\u0442\u0432\u043e\u043c \u0438\u043c\u0435\u043d \u043c\u043e\u0436\u043d\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:  <\/p>\n<pre><code class=\"plaintext\">apiVersion: v1 kind: Pod metadata: \u00a0\u00a0name: my-pod \u00a0\u00a0namespace: does-not-exist spec: \u00a0\u00a0containers: \u00a0\u00a0- name: sise \u00a0\u00a0\u00a0\u00a0image: learnk8s\/app:1.0.0 \u00a0\u00a0\u00a0\u00a0ports: \u00a0\u00a0\u00a0\u00a0- containerPort: 8080<\/code><\/pre>\n<p>  \u041e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435 YAML \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u043e, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043f\u043e\u0441\u043b\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 kubectl \u0437\u0430\u043f\u0440\u043e\u0441 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl apply -f pod-namespaced.yaml<\/code><\/pre>\n<p>  \u041f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u043c, \u0432\u044b \u043f\u0440\u043e\u0448\u043b\u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u043f\u043e\u0434\u043b\u0438\u043d\u043d\u043e\u0441\u0442\u0438 \u0438 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u044b. \u0422\u043e\u0433\u0434\u0430 \u0437\u0430\u043f\u0440\u043e\u0441 \u043f\u043e\u043f\u0430\u0434\u0430\u0435\u0442 \u043d\u0430 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u043a \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0443 \u0434\u043e\u043f\u0443\u0441\u043a\u0430\u00a0<code>NamespaceLifecycle<\/code>. \u041f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0441\u0442\u0432\u043e \u0438\u043c\u0435\u043d <\/p>\n<pre><code class=\"plaintext\">does-not-exist<\/code><\/pre>\n<p> \u043d\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0438 \u0432 \u043a\u043e\u043d\u0435\u0447\u043d\u043e\u043c \u0441\u0447\u0435\u0442\u0435 \u043e\u0442\u043a\u043b\u043e\u043d\u044f\u0435\u0442\u0441\u044f.\u00a0<\/p>\n<p>  \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440 \u0434\u043e\u043f\u0443\u0441\u043a\u0430\u00a0<code>NamespaceLifecycle<\/code> \u043e\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442 \u0437\u0430\u043f\u0440\u043e\u0441\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0433\u0443\u0442 \u0443\u0434\u0430\u043b\u0438\u0442\u044c \u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0441\u0442\u0432\u0430 \u0438\u043c\u0435\u043d <code>default<\/code>,\u00a0<code>kube-system<\/code>\u00a0\u0438\u00a0<code>kube-public<\/code>.<\/p>\n<p>  \u041a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0442 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0438 \u0440\u0435\u0441\u0443\u0440\u0441\u044b, \u043e\u0442\u043d\u043e\u0441\u044f\u0442\u0441\u044f \u043a \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u0438 <b>\u043f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0449\u0438\u0445 (validating)<\/b>. \u0415\u0441\u0442\u044c \u0438 \u0434\u0440\u0443\u0433\u0430\u044f \u043a\u0430\u0442\u0435\u0433\u043e\u0440\u0438\u044f \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u043e\u0432 \u2014 <b>\u0438\u0437\u043c\u0435\u043d\u044f\u044e\u0449\u0438\u0435 (mutatuing)<\/b>.<\/p>\n<h2>\u0418\u0437\u043c\u0435\u043d\u044f\u044e\u0449\u0438\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u0434\u043e\u043f\u0443\u0441\u043a\u0430<\/h2>\n<p>  \u0418\u0437\u043c\u0435\u043d\u044f\u044e\u0449\u0438\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u043c\u043e\u0433\u0443\u0442 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0442\u044c \u0437\u0430\u043f\u0440\u043e\u0441 \u0438 \u0438\u0437\u043c\u0435\u043d\u044f\u0442\u044c \u0435\u0433\u043e. \u041f\u0440\u0438\u043c\u0435\u0440 \u0442\u0430\u043a\u043e\u0433\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0430 \u2014 <code>DefaultStorageClass<\/code>.<\/p>\n<p>  \u041f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u043c, \u0432\u0430\u043c \u043d\u0443\u0436\u043d\u043e \u0441\u043e\u0437\u0434\u0430\u0442\u044c Persistent Volume Claim (PVC):<\/p>\n<pre><code class=\"plaintext\">apiVersion: v1 kind: PersistentVolumeClaim metadata: \u00a0\u00a0name: my-pvc spec: \u00a0\u00a0accessModes: \u00a0\u00a0\u00a0\u00a0- ReadWriteOnce \u00a0\u00a0resources: \u00a0\u00a0\u00a0\u00a0requests: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0storage: 3Gi<\/code><\/pre>\n<p>  \u0412 \u043a\u043e\u043d\u0441\u043e\u043b\u0438 \u044d\u0442\u043e \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0442\u0430\u043a:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl apply -f pvc.yaml<\/code><\/pre>\n<p>  \u0415\u0441\u043b\u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c \u0441\u043f\u0438\u0441\u043e\u043a Persistent Volume Claims \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e\u00a0<code>kubectl get pvc<\/code>, \u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u0443 \u0442\u043e\u043c\u0430 \u0435\u0441\u0442\u044c \u0441\u0432\u043e\u0439\u0441\u0442\u0432\u043e <code>Bound<\/code> \u0438 \u043e\u043d \u043e\u0442\u043d\u043e\u0441\u0438\u0442\u0441\u044f \u043a \u00ab\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u043c\u0443\u00bb \u043a\u043b\u0430\u0441\u0441\u0443 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0430.  <\/p>\n<pre><code class=\"plaintext\">NAME\u00a0 \u00a0 STATUS VOLUME \u00a0 \u00a0 \u00a0 CAPACITY ACCESS MODES STORAGECLASS\u00a0 my-pvc\u00a0 Bound\u00a0 pvc-059f2da2 3Gi\u00a0 \u00a0 \u00a0 RWO\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 standard AGE\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 3s<\/code><\/pre>\n<p>  \u041d\u043e \u0432\u044b \u043d\u0435 \u0437\u0430\u0434\u0430\u0432\u0430\u043b\u0438 \u043d\u0438\u043a\u0430\u043a\u043e\u0439 \u00ab\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0439\u00bb StorageClass \u0432 \u0444\u0430\u0439\u043b\u0435 YAML. \u0422\u0430\u043a \u0432\u0435\u0434\u044c?<br \/>  \u041e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435 YAML \u0434\u043b\u044f Persistent Volume Claim \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl get pvc my-pvc -0 yaml<\/code><\/pre>\n<p>  \u0415\u0441\u043b\u0438 \u043f\u0440\u0438\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c\u0441\u044f \u043a \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u044e, \u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u043e\u043d\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043f\u043e\u043b\u0435\u0439:<\/p>\n<pre><code class=\"plaintext\">apiVersion: v1 kind: PersistentVolumeClaim metadata: \u00a0\u00a0name: my-pvc spec: \u00a0\u00a0accessModes: \u00a0\u00a0- ReadWriteOnce \u00a0\u00a0resources: \u00a0\u00a0\u00a0\u00a0requests: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0storage: 3Gi \u00a0\u00a0storageClassName: standard \u00a0\u00a0volumeMode: Filesystem \u00a0\u00a0volumeName: pvc-059f2da2-a216-42b7-875e-e7da327605dd<\/code><\/pre>\n<p>  \u0418\u043c\u044f standard \u043d\u0435 \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043e \u0432 API. \u041d\u0430\u043f\u0440\u043e\u0442\u0438\u0432, \u0438\u043c\u044f StorageClass \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0432\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432\u00a0<code>spec.storageClassName<\/code>. \u0418\u043c\u044f StorageClass \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e (default) \u043c\u043e\u0436\u043d\u043e \u0438\u0437\u0432\u043b\u0435\u0447\u044c \u0438\u0437 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl get storageclass NAME \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 PROVISIONER \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 RECLAIMPOLICY\u00a0\u00a0\u00a0 standard (default) \u00a0 k8s.io\/minikube-hostpath\u00a0 \u00a0 Delete\u00a0\u00a0 VOLUMEBINDINGMODE \u00a0 AGE\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Immediate \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 8m<\/code><\/pre>\n<p>  \u0415\u0441\u043b\u0438 \u0438\u043c\u044f StorageClass \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u00abaws-ebs\u00bb, \u0442\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440 \u0434\u043e\u043f\u0443\u0441\u043a\u0430 <code>DefaultStorageClass<\/code> \u0432\u043a\u043b\u044e\u0447\u0438\u043b \u0431\u044b \u0435\u0433\u043e \u0432\u043c\u0435\u0441\u0442\u043e \u0438\u043c\u0435\u043d\u0438 \u00abstandard\u00bb.<\/p>\n<p>  \u0412 Kubernetes \u0435\u0441\u0442\u044c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0438\u0437\u043c\u0435\u043d\u044f\u044e\u0449\u0438\u0445 \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0449\u0438\u0445 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u043e\u0432 \u0434\u043e\u043f\u0443\u0441\u043a\u0430. <a href=\"https:\/\/kubernetes.io\/docs\/reference\/access-authn-authz\/admission-controllers\/\">\u041f\u043e\u043b\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0432 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0439 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u0438<\/a>.<\/p>\n<p>  \u041f\u0440\u043e\u0439\u0434\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u043e\u0432 \u0434\u043e\u043f\u0443\u0441\u043a\u0430, \u0437\u0430\u043f\u0440\u043e\u0441 \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0435\u0442\u0441\u044f \u0432 etcd. \u0422\u043e \u0435\u0441\u0442\u044c \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0440\u0430\u0441\u0448\u0438\u0440\u0438\u0442\u044c \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 API-\u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0435\u0449\u0435 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u043c\u0438 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430\u043c\u0438:<\/p>\n<p>  <img decoding=\"async\" src=\"\/img\/image-loader.svg\" data-src=\"https:\/\/habrastorage.org\/webt\/j-\/wx\/ix\/j-wxix11x5bhhzkr964i-pvr4ja.png\"\/>  <\/p>\n<ol>\n<li>\u0418\u0437\u043c\u0435\u043d\u044f\u044e\u0449\u0438\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u0434\u043e\u043f\u0443\u0441\u043a\u0430 \u0432\u044b\u0437\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u043f\u0435\u0440\u0432\u044b\u043c\u0438.  <\/li>\n<li>\u0418\u0437\u043c\u0435\u043d\u0435\u043d\u043d\u044b\u0439 \u0440\u0435\u0441\u0443\u0440\u0441 \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u044f \u0441\u0445\u0435\u043c\u0435. \u0417\u0434\u0435\u0441\u044c API \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e\u0441\u0442\u044c \u0440\u0435\u0441\u0443\u0440\u0441\u0430. \u041f\u043e\u0434 \u0432\u0441\u0435 \u0435\u0449\u0435 \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u043a\u0430\u043a \u043f\u043e\u0434? \u0412\u0441\u0435 \u043b\u0438 \u043d\u0443\u0436\u043d\u044b\u0435 \u043f\u043e\u043b\u044f \u043d\u0430 \u043c\u0435\u0441\u0442\u0435?  <\/li>\n<li>\u041d\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u043c \u044d\u0442\u0430\u043f\u0435 \u0432 \u0438\u0433\u0440\u0443 \u0432\u0441\u0442\u0443\u043f\u0430\u044e\u0442 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0449\u0438\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u0434\u043e\u043f\u0443\u0441\u043a\u0430. \u041f\u043e\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430 \u0440\u0435\u0441\u0443\u0440\u0441 \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0435\u0442\u0441\u044f \u0432 etcd.  <\/li>\n<\/ol>\n<p>  \u041d\u043e \u0447\u0442\u043e \u0435\u0441\u043b\u0438 \u0432\u0430\u043c \u043d\u0443\u0436\u043d\u0430 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u0438\u043b\u0438 \u0440\u0435\u0441\u0443\u0440\u0441\u044b \u043d\u0443\u0436\u043d\u043e \u0438\u0437\u043c\u0435\u043d\u044f\u0442\u044c \u0432 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0438 \u0441 \u0432\u0430\u0448\u0438\u043c\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438? <b>\u041a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u0434\u043e\u043f\u0443\u0441\u043a\u0430 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u044f<\/b>.<\/p>\n<p>  \u0412\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u0434\u043e\u043f\u0443\u0441\u043a\u0430 Kubernetes \u0438\u043b\u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435.<\/p>\n<p>  \u041a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u0434\u043e\u0441\u0442\u0443\u043f\u0430 MutationAdmissionWebhook \u0438 ValidationAdmissionWebhook \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0438\u0440\u0443\u0435\u043c\u044b\u043c\u0438 \u2014 \u043e\u043d\u0438 \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u0434\u0435\u043b\u0430\u044e\u0442 \u0441\u0430\u043c\u0438. \u041a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0430 \u0432\u0435\u0431\u0445\u0443\u043a\u0435 Mutation \u0438\u043b\u0438 Validation, \u0438 \u044d\u0442\u0438 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u044b \u0431\u0443\u0434\u0443\u0442 \u0432\u044b\u0437\u044b\u0432\u0430\u0442\u044c \u0435\u0433\u043e, \u043a\u043e\u0433\u0434\u0430 \u0437\u0430\u043f\u0440\u043e\u0441 \u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043d\u0430 \u044d\u0442\u0430\u043f\u0435 \u0434\u043e\u043f\u0443\u0441\u043a\u0430.<\/p>\n<p>  <img decoding=\"async\" src=\"\/img\/image-loader.svg\" data-src=\"https:\/\/habrastorage.org\/webt\/r-\/q4\/ix\/r-q4ixetzngk9wiqbui5spgsgtm.png\"\/><\/p>\n<p>  \u041c\u043e\u0436\u043d\u043e \u043d\u0430\u043f\u0438\u0441\u0430\u0442\u044c \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043b\u0438 \u0442\u0435\u043a\u0443\u0449\u0438\u0439 \u043f\u043e\u0434 \u043e\u0431\u0440\u0430\u0437 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430, \u0432\u0437\u044f\u0442\u044b\u0439 \u0438\u0437 \u0447\u0430\u0441\u0442\u043d\u043e\u0433\u043e \u0440\u0435\u0435\u0441\u0442\u0440\u0430. \u041c\u043e\u0436\u043d\u043e \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0435\u0433\u043e \u043a\u0430\u043a \u0447\u0430\u0441\u0442\u044c ValidationAdmissionWebhook \u0438 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0442\u044c \u0438\u043b\u0438 \u043e\u0442\u043a\u043b\u043e\u043d\u044f\u0442\u044c \u0437\u0430\u043f\u0440\u043e\u0441\u044b \u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442 \u043e\u0431\u0440\u0430\u0437\u0430 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430.<\/p>\n<p>  \u0418\u043c\u0435\u043d\u043d\u043e \u044d\u0442\u043e \u0438 \u0434\u0435\u043b\u0430\u0435\u0442 <b>Gatekeeper<\/b>: \u043e\u043d \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435 \u043a\u0430\u043a \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u0437\u0430\u043f\u0440\u043e\u0441\u044b.<\/p>\n<h2>\u041f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a \u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e\u043c Gatekeeper<\/h2>\n<p>  \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e <a href=\"https:\/\/github.com\/open-policy-agent\/gatekeeper\">Gatekeeper<\/a> \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440 Kubernetes \u043c\u043e\u0436\u0435\u0442 \u0432\u043d\u0435\u0434\u0440\u044f\u0442\u044c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438, \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044e\u0449\u0438\u0435 \u0441\u043e\u0431\u043b\u044e\u0434\u0435\u043d\u0438\u0435 \u0437\u0430\u0434\u0430\u043d\u043d\u044b\u0445 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u0439 \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435. Gatekeeper \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0432\u0435\u0431\u0445\u0443\u043a\u0430 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0432 API Kubernetes.<\/p>\n<p>  <img decoding=\"async\" src=\"\/img\/image-loader.svg\" data-src=\"https:\/\/habrastorage.org\/webt\/lp\/i3\/ww\/lpi3wwulqlou8ocd_b37tkffl3c.png\"\/><\/p>\n<p>  \u041b\u044e\u0431\u043e\u0439 \u0440\u0435\u0441\u0443\u0440\u0441, \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0439 \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440, \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442\u0441\u044f \u043d\u0430 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0435 \u0441\u043f\u0438\u0441\u043a\u0443 \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0445 \u043f\u043e\u043b\u0438\u0442\u0438\u043a.<\/p>\n<p>  \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, Gatekeeper \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0440\u043e\u0434\u043d\u044b\u0435 \u043a\u043e\u043d\u0446\u0435\u043f\u0446\u0438\u0438 Kubernetes \u0432\u0440\u043e\u0434\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0445 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432 (CRD), \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043a\u0430\u043a \u0440\u0435\u0441\u0443\u0440\u0441\u044b Kubernetes. \u0427\u0442\u043e\u0431\u044b \u0443\u0437\u043d\u0430\u0442\u044c \u0431\u043e\u043b\u044c\u0448\u0435 \u043f\u043e \u044d\u0442\u043e\u0439 \u0442\u0435\u043c\u0435, \u043e\u0437\u043d\u0430\u043a\u043e\u043c\u044c\u0442\u0435\u0441\u044c \u0441\u00a0<a href=\"https:\/\/cloud.google.com\/anthos-config-management\/docs\/concepts\/policy-controller\">\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u043e\u043c Google Cloud<\/a>.<\/p>\n<p>  \u0412\u043d\u0443\u0442\u0440\u0438 Gatekeeper \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 Open Policy Agent (OPA) \u0434\u043b\u044f \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0433\u043e \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0430 \u043f\u043e\u043b\u0438\u0442\u0438\u043a, \u0430 \u0441\u0430\u043c\u0438 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u044b \u043d\u0430 \u044f\u0437\u044b\u043a\u0435 Rego, \u043a\u043e\u0442\u043e\u0440\u044b\u043c \u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f Conftest.<\/p>\n<p>  \u0422\u0435\u043f\u0435\u0440\u044c \u043e\u043f\u0440\u043e\u0431\u0443\u0435\u043c Gatekeeper \u043d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435. \u0412\u0430\u043c \u043f\u043e\u043d\u0430\u0434\u043e\u0431\u0438\u0442\u0441\u044f \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0443 Kubernetes \u0441 \u043f\u0440\u0430\u0432\u0430\u043c\u0438 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e\u00a0minikube. \u0415\u0441\u043b\u0438 \u0432\u044b \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442\u0435 \u043d\u0430 Windows, \u043c\u043e\u0436\u043d\u043e\u00a0<a href=\"https:\/\/learnk8s.io\/installing-docker-kubernetes-windows\">\u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u043d\u0430\u0448\u0438\u043c \u0443\u0434\u043e\u0431\u043d\u044b\u043c \u0440\u0443\u043a\u043e\u0432\u043e\u0434\u0441\u0442\u0432\u043e\u043c \u043f\u043e \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0435 minikube \u0438 Docker<\/a>.<\/p>\n<p>  \u041f\u043e\u0441\u043b\u0435 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0438\u00a0kubectl\u00a0\u0441 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u043e\u043c \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u0442\u0435 Gatekeeper:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl apply -f https:\/\/raw.githubusercontent.com\/open-policy-agent\/gatekeeper\/master\/deploy\/gatekeeper.yaml<\/code><\/pre>\n<p>  \u041f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e\u0441\u0442\u044c \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl -n gatekeeper-system describe svc gatekeeper-webhook-service Name:\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 gatekeeper-webhook-service Namespace: \u00a0 \u00a0 \u00a0 \u00a0 gatekeeper-system Labels:\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 gatekeeper.sh\/system=yes Annotations: \u00a0 \u00a0 \u00a0 ... Type:\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 ClusterIP IP:\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 10.102.199.165 Port:\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 &lt;unset>\u00a0 443\/TCP TargetPort:\u00a0 \u00a0 \u00a0 \u00a0 8443\/TCP Endpoints: \u00a0 \u00a0 \u00a0 \u00a0 172.18.0.4:8443 # more output ...<\/code><\/pre>\n<p>  \u042d\u0442\u043e\u0442 \u0441\u0435\u0440\u0432\u0438\u0441 \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f API Kubernetes \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u0437\u0430\u043f\u0440\u043e\u0441\u0430 \u043d\u0430 \u044d\u0442\u0430\u043f\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0434\u043e\u043f\u0443\u0441\u043a\u0430. \u0422\u0435\u043f\u0435\u0440\u044c \u0432\u0441\u0435 \u0432\u0430\u0448\u0438 \u043f\u043e\u0434\u044b, Deployments, \u0441\u0435\u0440\u0432\u0438\u0441\u044b \u0438 \u0442. \u0434. \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0438 \u0442\u0449\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0442\u0441\u044f Gatekeeper.<\/p>\n<h2>\u041e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435 \u043c\u043d\u043e\u0433\u043e\u043a\u0440\u0430\u0442\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0445 \u043f\u043e\u043b\u0438\u0442\u0438\u043a \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e ConstraintTemplate<\/h2>\n<p>  \u0412 Gatekeeper \u043d\u0443\u0436\u043d\u043e \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0433\u043e \u0440\u0435\u0441\u0443\u0440\u0441\u0430\u00a0<code>ConstraintTemplate.<\/code><\/p>\n<p>  \u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043f\u0440\u0438\u043c\u0435\u0440. \u042d\u0442\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435\u00a0<code>ConstraintTemplate<\/code>\u00a0\u043e\u0442\u043a\u043b\u043e\u043d\u044f\u0435\u0442 \u043b\u044e\u0431\u043e\u0435 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0435\u0435 \u0442\u0435\u0433 <code>latest<\/code>:<\/p>\n<pre><code class=\"plaintext\">apiVersion: templates.gatekeeper.sh\/v1beta1 kind: ConstraintTemplate metadata: \u00a0\u00a0name: k8simagetagvalid spec: \u00a0\u00a0crd: \u00a0\u00a0\u00a0\u00a0spec: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0names: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0kind: K8sImageTagValid \u00a0\u00a0targets: \u00a0\u00a0\u00a0\u00a0- target: admission.k8s.gatekeeper.sh \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0rego: | \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0package k8simagetagvalid  \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0violation[{\"msg\": msg, \"details\":{}}] { \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image := input.review.object.spec.template.spec.containers[_].image \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0not count(split(image, \":\")) == 2 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0msg := sprintf(\"image '%v' doesn't specify a valid tag\", [image]) \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0}  \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0violation[{\"msg\": msg, \"details\":{}}] { \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image := input.review.object.spec.template.spec.containers[_].image \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0endswith(image, \"latest\") \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0msg := sprintf(\"image '%v' uses latest tag\", [image]) \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0}<\/code><\/pre>\n<p>  \u042d\u0442\u0430 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430 \u043f\u043e\u0445\u043e\u0436\u0430 \u043d\u0430 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0443\u044e, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u043c\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 \u0441\u00a0Conftest.\u00a0<\/p>\n<p>  \u0412\u0437\u0433\u043b\u044f\u043d\u0438\u0442\u0435:<\/p>\n<pre><code class=\"plaintext\">package main  deny[msg] { \u00a0\u00a0input.kind == \"Deployment\" \u00a0\u00a0image := input.spec.template.spec.containers[_].image \u00a0\u00a0not count(split(image, \":\")) == 2 \u00a0\u00a0msg := sprintf(\"image '%v' doesn't specify a valid tag\", [image]) }  deny[msg] { \u00a0\u00a0input.kind == \"Deployment\" \u00a0\u00a0image := input.spec.template.spec.containers[_].image \u00a0\u00a0endswith(image, \"latest\") \u00a0\u00a0msg := sprintf(\"image '%v' uses latest tag\", [image]) }<\/code><\/pre>\n<p>  \u0418 \u0432\u0441\u0435 \u0436\u0435 \u0442\u0443\u0442 \u0435\u0441\u0442\u044c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0442\u043e\u043d\u043a\u0438\u0445 \u0432\u0430\u0436\u043d\u044b\u0445 \u0440\u0430\u0437\u043b\u0438\u0447\u0438\u0439. \u041e\u0431\u044a\u0435\u043a\u0442 \u0432\u0432\u043e\u0434\u0430 \u0438\u043c\u0435\u0435\u0442 \u0432\u0438\u0434 <code>input.review.object<\/code>, \u0430 \u043d\u0435 <code>input<\/code>, \u0438 \u0437\u0434\u0435\u0441\u044c \u043d\u0435\u0442 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0441\u0442\u0438 \u0437\u0430\u044f\u0432\u043b\u044f\u0442\u044c \u0435\u0433\u043e \u0442\u0438\u043f.<\/p>\n<pre><code class=\"plaintext\">apiVersion: templates.gatekeeper.sh\/v1beta1 kind: ConstraintTemplate metadata: \u00a0\u00a0name: k8simagetagvalid spec: \u00a0\u00a0crd: \u00a0\u00a0\u00a0\u00a0spec: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0names: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0kind: K8sImageTagValid \u00a0\u00a0targets: \u00a0\u00a0\u00a0\u00a0- target: admission.k8s.gatekeeper.sh \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0rego: | \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0package k8simagetagvalid  \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0violation[{\"msg\": msg, \"details\":{}}] { \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image := input.review.object.spec.template.spec.containers[_].image \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0not count(split(image, \":\")) == 2 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0msg := sprintf(\"image '%v' doesn't specify a valid tag\", [image]) \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0}  \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 violation[{\"msg\": msg, \"details\":{}}] { \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image := input.review.object.spec.template.spec.containers[_].image \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0endswith(image, \"latest\") \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0msg := sprintf(\"image '%v' uses latest tag\", [image]) \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0}<\/code><\/pre>\n<p>  \u041f\u0440\u0430\u0432\u0438\u043b\u043e <code>deny<\/code> \u043f\u0435\u0440\u0435\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u043e \u0432 \u00ab\u043d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u0435\u00bb (<code>violation<\/code>).<\/p>\n<p>  \u0412\u00a0Conftest \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u0430 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u00a0<code>Deny[msg] {...}<\/code>, \u0430 \u0432 Gatekeeper \u2014 <code>violation[{\"msg\": msg}] {...}<\/code>.<\/p>\n<pre><code class=\"plaintext\">apiVersion: templates.gatekeeper.sh\/v1beta1 kind: ConstraintTemplate metadata: \u00a0\u00a0name: k8simagetagvalid spec: \u00a0\u00a0crd: \u00a0\u00a0\u00a0\u00a0spec: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0names: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0kind: K8sImageTagValid \u00a0\u00a0targets: \u00a0\u00a0\u00a0\u00a0- target: admission.k8s.gatekeeper.sh \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0rego: | \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0package k8simagetagvalid  \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0violation[{\"msg\": msg, \"details\":{}}] { \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image := input.review.object.spec.template.spec.containers[_].image \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0not count(split(image, \":\")) == 2 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0msg := sprintf(\"image '%v' doesn't specify a valid tag\", [image]) \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0}  \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0violation[{\"msg\": msg, \"details\":{}}] { \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image := input.review.object.spec.template.spec.containers[_].image \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0endswith(image, \"latest\") \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0msg := sprintf(\"image '%v' uses latest tag\", [image]) \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0}<\/code><\/pre>\n<p>  \u0411\u043b\u043e\u043a \u0441 \u043f\u0440\u0430\u0432\u0438\u043b\u043e\u043c \u043e \u043d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u0438 \u0438\u043c\u0435\u0435\u0442 \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u0435\u0441\u043a\u0443\u044e \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u0443 \u2014 \u043e\u0431\u044a\u0435\u043a\u0442 \u0441 \u0434\u0432\u0443\u043c\u044f \u0441\u0432\u043e\u0439\u0441\u0442\u0432\u0430\u043c\u0438. <br \/>  \u041f\u0435\u0440\u0432\u043e\u0435 \u0441\u0432\u043e\u0439\u0441\u0442\u0432\u043e,\u00a0<code>msg<\/code> \u2014 \u0441\u0442\u0440\u043e\u043a\u0430, \u0432\u0442\u043e\u0440\u043e\u0435 \u2014 \u043e\u0431\u044a\u0435\u043a\u0442 <code>details<\/code>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432\u043a\u043b\u044e\u0447\u0430\u0435\u0442 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0435 \u0441\u0432\u043e\u0439\u0441\u0442\u0432\u0430 \u0438 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u043e\u0436\u043d\u043e \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u043b\u044e\u0431\u044b\u043c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435\u043c. \u0412 \u043d\u0430\u0448\u0435\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u044d\u0442\u043e \u043f\u0443\u0441\u0442\u043e\u0439 \u043e\u0431\u044a\u0435\u043a\u0442.<\/p>\n<p>  \u041e\u0431\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u043a\u0430\u043a \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u043c\u044b\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f:  <\/p>\n<pre><code class=\"plaintext\">apiVersion: templates.gatekeeper.sh\/v1beta1 kind: ConstraintTemplate metadata: \u00a0\u00a0name: k8simagetagvalid spec: \u00a0\u00a0crd: \u00a0\u00a0\u00a0\u00a0spec: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0names: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0kind: K8sImageTagValid \u00a0\u00a0targets: \u00a0\u00a0\u00a0\u00a0- target: admission.k8s.gatekeeper.sh \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0rego: | \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0package k8simagetagvalid  \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0violation[{\"msg\": msg, \"details\":{}}] { \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image := input.review.object.spec.template.spec.containers[_].image \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0not count(split(image, \":\")) == 2 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0msg := sprintf(\"image '%v' doesn't specify a valid tag\", [image]) \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0}         violation[{\"msg\": msg, \"details\":{}}] { \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image :=  input.review.object.spec.template.spec.containers[_].image \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0endswith(image, \"latest\") \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0msg := sprintf(\"image '%v' uses latest tag\", [image]) \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0} <\/code><\/pre>\n<p>  \u0422\u0435\u043f\u0435\u0440\u044c \u0441\u043e\u0437\u0434\u0430\u0435\u043c\u00a0<code>ConstraintTemplate<\/code>:  <\/p>\n<pre><code class=\"plaintext\">$kubectl apply -f templates\/check_image_tag.yaml constrainttemplate.templates.gatekeeper.sh\/k8simagetagvalid created<\/code><\/pre>\n<p>  \u041c\u043e\u0436\u043d\u043e \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c\u00a0<code>kubectl describe<\/code>, \u0447\u0442\u043e\u0431\u044b \u043d\u0430\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u0437\u0430\u043f\u0440\u043e\u0441 \u043a \u0448\u0430\u0431\u043b\u043e\u043d\u0443 \u0438\u0437 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl describe constrainttemplate.templates.gatekeeper.sh\/k8simagetagvalid Name: \u00a0 \u00a0 \u00a0 \u00a0 k8simagetagvalid Namespace: Labels: \u00a0 \u00a0 \u00a0 &lt;none> Annotations:\u00a0 kubectl.kubernetes.io\/last-applied-configuration:\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 {\"apiVersion\":\"templates.gatekeeper.sh\/v1beta1\",\"kind\":\"ConstraintTemplate\",\"metadata\": \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 {\"annotations\":{},\"name\":\"k8simagetagvalid\"},\"spec\"... API Version:\u00a0 templates.gatekeeper.sh\/v1beta1 Kind: \u00a0 \u00a0 \u00a0 \u00a0 ConstraintTemplate # more output ...<\/code><\/pre>\n<p>  \u041e\u0434\u043d\u0430\u043a\u043e <code>ConstraintTemplate<\/code>\u00a0\u043d\u0435\u043b\u044c\u0437\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0439. \u042d\u0442\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u0430 \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0443\u0442\u0435\u043c \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f Constraint.<\/p>\n<h2>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u044f<\/h2>\n<p>  Constraint\u00a0\u2014 \u044d\u0442\u043e \u0441\u043f\u043e\u0441\u043e\u0431 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c:\u00a0\u00ab\u042f \u0445\u043e\u0447\u0443 \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u0442\u044c \u044d\u0442\u0443 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u043a \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0443\u00bb. <code>ConstraintTemplates<\/code> \u043c\u043e\u0436\u043d\u043e \u0441\u0440\u0430\u0432\u043d\u0438\u0442\u044c \u0441 \u043a\u043d\u0438\u0433\u043e\u0439 \u0440\u0435\u0446\u0435\u043f\u0442\u043e\u0432. \u0420\u0435\u0446\u0435\u043f\u0442\u043e\u0432 \u043f\u0435\u0447\u0435\u043d\u044c\u044f \u0438 \u0432\u044b\u043f\u0435\u0447\u043a\u0438 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0441\u043e\u0442\u043d\u0438, \u043d\u043e \u0438\u043c\u0438 \u0441\u044b\u0442 \u043d\u0435 \u0431\u0443\u0434\u0435\u0448\u044c. \u0427\u0442\u043e\u0431\u044b \u0438\u0441\u043f\u0435\u0447\u044c \u0442\u043e\u0440\u0442, \u043d\u0443\u0436\u043d\u043e \u0432\u044b\u0431\u0440\u0430\u0442\u044c \u0440\u0435\u0446\u0435\u043f\u0442 \u0438 \u0441\u043c\u0435\u0448\u0430\u0442\u044c \u0438\u043d\u0433\u0440\u0435\u0434\u0438\u0435\u043d\u0442\u044b. \u041e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u044f \u2014 \u044d\u0442\u043e \u0447\u0430\u0441\u0442\u043d\u044b\u0439 \u0441\u043b\u0443\u0447\u0430\u0439 <code>ConstraintTemplate<\/code>.<\/p>\n<p>  \u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043f\u0440\u0438\u043c\u0435\u0440. \u0421\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435 <code>Constraint<\/code> \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0440\u0430\u043d\u0435\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0439 <code>ConstraintTemplate<\/code> (\u0440\u0435\u0446\u0435\u043f\u0442) K8sImageTagValid:<\/p>\n<pre><code class=\"plaintext\">apiVersion: constraints.gatekeeper.sh\/v1beta1 kind: K8sImageTagValid metadata: \u00a0\u00a0name: valid-image-tag spec: \u00a0\u00a0match: \u00a0\u00a0\u00a0\u00a0kinds: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- apiGroups: [\"apps\"] \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0kinds: [\"Deployment\"]<\/code><\/pre>\n<p>  \u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435:\u00a0<code>Constraint<\/code> \u0441\u0441\u044b\u043b\u0430\u0435\u0442\u0441\u044f \u043d\u0430\u00a0<code>ConstraintTemplate<\/code> \u0438 \u043d\u0430 \u0442\u043e, \u043a \u043a\u0430\u043a\u043e\u043c\u0443 \u0442\u0438\u043f\u0443 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432 \u0435\u0433\u043e \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u0442\u044c.<\/p>\n<p>  \u041e\u0431\u044a\u0435\u043a\u0442\u00a0<code>spec.match<\/code> \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442 \u0440\u0430\u0431\u043e\u0447\u0438\u0435 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438, \u043a \u043a\u043e\u0442\u043e\u0440\u044b\u043c \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435. \u0417\u0434\u0435\u0441\u044c \u0443 \u043d\u0430\u0441 \u0443\u043a\u0430\u0437\u0430\u043d\u043e, \u0447\u0442\u043e \u043e\u043d\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f \u043a \u0433\u0440\u0443\u043f\u043f\u0435 <code>API\u00a0apps<\/code>, \u0442\u0438\u043f <code>Deployment<\/code>. \u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u044d\u0442\u0438 \u043f\u043e\u043b\u044f \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043c\u0430\u0441\u0441\u0438\u0432\u0430\u043c\u0438, \u0434\u043b\u044f \u043d\u0438\u0445 \u043c\u043e\u0436\u043d\u043e \u0443\u043a\u0430\u0437\u0430\u0442\u044c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0439 \u0438 \u0440\u0430\u0441\u0448\u0438\u0440\u0438\u0442\u044c \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0434\u043e StatefulSets, DaemonSets \u0438 \u0442. \u0434.<\/p>\n<p>  \u0421\u043e\u0445\u0440\u0430\u043d\u0438\u0442\u0435 \u0432\u044b\u0448\u0435\u0443\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0432 \u043d\u043e\u0432\u044b\u0439 \u0444\u0430\u0439\u043b \u0438 \u043d\u0430\u0437\u043e\u0432\u0438\u0442\u0435 \u0435\u0433\u043e <code>check_image_tag_constraint.yaml<\/code>. \u0412\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u00a0<code>kubectl apply<\/code>,\u00a0\u0447\u0442\u043e\u0431\u044b \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl apply -f check_image_tag_constraint.yaml k8simagetagvalid.constraints.gatekeeper.sh\/valid-image-tag created<\/code><\/pre>\n<p>  \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e kubectl describe \u0443\u0431\u0435\u0434\u0438\u0442\u0435\u0441\u044c, \u0447\u0442\u043e \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435 \u0431\u044b\u043b\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u043e:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl describe k8simagetagvalid.constraints.gatekeeper.sh\/valid-image-tag Name: \u00a0 \u00a0 \u00a0 \u00a0 valid-image-tag Namespace: Labels: \u00a0 \u00a0 \u00a0 &lt;none> Annotations:\u00a0 kubectl.kubernetes.io\/last-applied-configuration: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0{\"apiVersion\":\"constraints.gatekeeper.sh\/v1beta1\",\"kind\":\"K8sImageTagValid\",\"metadata: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0{\"annotations\":{},\"name\":\"valid-image-tag\"},\"spec\":... API Version:\u00a0 constraints.gatekeeper.sh\/v1beta1 Kind: \u00a0 \u00a0 \u00a0 \u00a0 K8sImageTagValid Metadata: \u00a0\u00a0Creation Timestamp:\u00a0 2020-07-01T07:57:23Z # more output...<\/code><\/pre>\n<h2>\u0422\u0435\u0441\u0442\u0438\u0440\u0443\u0435\u043c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443<\/h2>\n<p>  \u0422\u0435\u043f\u0435\u0440\u044c \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u0440\u043e\u0442\u0435\u0441\u0442\u0438\u0440\u0443\u0435\u043c Deployment \u0441 \u0434\u0432\u0443\u043c\u044f \u043e\u0431\u0440\u0430\u0437\u0430\u043c\u0438 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u043e\u0432:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl apply -f deployment.yaml Error from server ([denied by valid-image-tag] image 'hashicorp\/http-echo' doesn't specify a valid tag [denied by valid-image-tag] image 'hashicorp\/http-echo:latest' uses latest tag): error when creating \"test-data\/deployment.yaml\": admission webhook \"validation.gatekeeper.sh\" denied the request: [denied by valid-image-tag] image 'hashicorp\/http-echo' doesn't specify a valid tag [denied by valid-image-tag] image 'hashicorp\/http-echo:latest' uses latest tag<\/code><\/pre>\n<p>  \u0420\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043e\u0442\u043a\u043b\u043e\u043d\u044f\u0435\u0442\u0441\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u043e\u0439 Gatekeeper. \u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u0430 \u0432 API Kubernetes. <b>\u0415\u0435 \u043d\u0435\u043b\u044c\u0437\u044f \u043f\u0440\u043e\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u0438\u043b\u0438 \u043e\u0431\u043e\u0439\u0442\u0438.<\/b><\/p>\n<p>  \u0412\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a Gatekeeper \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435 \u0441 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u043c\u0438 \u0440\u0430\u0431\u043e\u0447\u0438\u043c\u0438 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430\u043c\u0438 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u044b\u043c, \u0442\u0430\u043a \u043a\u0430\u043a \u0441\u043e\u043f\u0440\u044f\u0436\u0435\u043d\u043e \u0441 \u0443\u0433\u0440\u043e\u0437\u043e\u0439 \u0441\u0440\u044b\u0432\u0430 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0432\u0430\u0436\u043d\u044b\u0445 \u0440\u0430\u0431\u043e\u0447\u0438\u0445 \u043d\u0430\u0433\u0440\u0443\u0437\u043e\u043a \u0438\u0437-\u0437\u0430 \u043d\u0435\u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u044f \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f\u043c.<\/p>\n<p>  \u041d\u043e Gatekeeper \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0442\u044c \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u044f \u0432 \u0440\u0435\u0436\u0438\u043c\u0435 \u043f\u0440\u043e\u0431\u043d\u043e\u0433\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0441 \u0443\u043a\u0430\u0437\u0430\u043d\u0438\u0435\u043c <code>enforcementAction: dryrun<\/code>\u00a0\u0432 \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438:  <\/p>\n<pre><code class=\"plaintext\">apiVersion: constraints.gatekeeper.sh\/v1beta1 kind: K8sImageTagValid metadata: \u00a0\u00a0name: valid-image-tag spec: \u00a0\u00a0enforcementAction: dryrun \u00a0\u00a0match: \u00a0\u00a0\u00a0\u00a0kinds: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- apiGroups: [\"apps\"] \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0kinds: [\"Deployment\"]<\/code><\/pre>\n<p>  \u0412 \u044d\u0442\u043e\u043c \u0440\u0435\u0436\u0438\u043c\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430 \u043d\u0435 \u043c\u0435\u0448\u0430\u0435\u0442 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044e \u0440\u0430\u0431\u043e\u0447\u0438\u0445 \u043d\u0430\u0433\u0440\u0443\u0437\u043e\u043a, \u043d\u043e \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u0443\u0435\u0442 \u0438 \u0444\u0438\u043a\u0441\u0438\u0440\u0443\u0435\u0442 \u0432\u0441\u0435 \u043d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u044f \u0432 \u043f\u043e\u043b\u0435 <code>Violations <\/code>\u043a\u043e\u043c\u0430\u043d\u0434\u044b <code>kubectl describe<\/code>:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl describe k8simagetagvalid.constraints.gatekeeper.sh\/valid-image-tag Name: \u00a0 \u00a0 \u00a0 \u00a0 valid-image-tag Namespace: Labels: \u00a0 \u00a0 \u00a0 &lt;none> Annotations:\u00a0 kubectl.kubernetes.io\/last-applied-configuration: .... \u00a0\u00a0Total Violations:\u00a0 2 \u00a0\u00a0Violations: \u00a0\u00a0\u00a0\u00a0Enforcement Action:\u00a0 dryrun \u00a0\u00a0\u00a0\u00a0Kind:\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 Deployment \u00a0\u00a0\u00a0\u00a0Message: \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 image 'hashicorp\/http-echo' doesn't specify a valid tag \u00a0\u00a0\u00a0\u00a0Name:\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 http-echo \u00a0\u00a0\u00a0\u00a0Namespace: \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 default \u00a0\u00a0\u00a0\u00a0Enforcement Action:\u00a0 dryrun \u00a0\u00a0\u00a0\u00a0Kind:\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 Deployment \u00a0\u00a0\u00a0\u00a0Message: \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 image 'hashicorp\/http-echo:latest' uses latest tag \u00a0\u00a0\u00a0\u00a0Name:\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 http-echo \u00a0\u00a0\u00a0\u00a0Namespace: \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 default Events:\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 &lt;none> <\/code><\/pre>\n<p>  \u0423\u0431\u0435\u0434\u0438\u0432\u0448\u0438\u0441\u044c, \u0447\u0442\u043e \u0432\u0441\u0435 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u044b \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0442 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f\u043c, \u043c\u043e\u0436\u043d\u043e \u0443\u0431\u0440\u0430\u0442\u044c \u0440\u0435\u0436\u0438\u043c \u00ab\u043f\u0440\u043e\u0431\u043d\u043e\u0433\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f\u00bb \u0438 \u0430\u043a\u0442\u0438\u0432\u043d\u043e \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0449\u0430\u0442\u044c \u043d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u044f.<\/p>\n<p>  \u0410 \u043c\u043e\u0436\u043d\u043e \u043b\u0438 \u043d\u0430\u043f\u0438\u0441\u0430\u0442\u044c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443, \u0441\u043e\u0433\u043b\u0430\u0441\u043d\u043e \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0443 Deployment \u0434\u043e\u043b\u0436\u043d\u043e \u0431\u044b\u0442\u044c \u0434\u0432\u0435 \u043c\u0435\u0442\u043a\u0438: <code>project<\/code> \u043f\u043e \u0442\u0435\u043a\u0443\u0449\u0435\u043c\u0443 \u043f\u0440\u043e\u0435\u043a\u0442\u0443 \u0438 <code>app<\/code> \u0434\u043b\u044f \u0438\u043c\u0435\u043d\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f?<\/p>\n<h2>\u041f\u043e\u043b\u0438\u0442\u0438\u043a\u0430 \u043f\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044e \u0435\u0434\u0438\u043d\u043e\u043e\u0431\u0440\u0430\u0437\u043d\u044b\u0445 \u043c\u0435\u0442\u043e\u043a<\/h2>\n<p>  \u0421\u043d\u0430\u0447\u0430\u043b\u0430 \u043d\u0443\u0436\u043d\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u0442\u044c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u043a\u0430\u043a \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443\u00a0<code>conftest<\/code>:<\/p>\n<pre><code class=\"plaintext\">package main  deny[msg] { \u00a0\u00a0input.kind == \"Deployment\"  \u00a0\u00a0required := {\"app\", \"project\"} \u00a0\u00a0provided := {label | input.metadata.labels[label]} \u00a0\u00a0missing := required - provided  \u00a0\u00a0count(missing) > 0 \u00a0\u00a0msg = sprintf(\"you must provide labels: %v\", [missing]) } <\/code><\/pre>\n<p>  \u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435. <code>required<\/code> \u2014 \u044d\u0442\u043e \u043d\u0430\u0431\u043e\u0440 \u0441 \u0434\u0432\u0443\u043c\u044f \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430\u043c\u0438: <code>app<\/code>\u00a0\u0438\u00a0<code>project<\/code>. \u042d\u0442\u0438 \u043c\u0435\u0442\u043a\u0438 \u0434\u043e\u043b\u0436\u043d\u044b \u0431\u044b\u0442\u044c \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u044b \u0432\u043e \u0432\u0441\u0435\u0445 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f\u0445.<\/p>\n<pre><code class=\"plaintext\">package main  deny[msg] { \u00a0\u00a0input.kind == \"Deployment\"  \u00a0\u00a0required := {\"app\", \"project\"} \u00a0\u00a0provided := {label | input.metadata.labels[label]} \u00a0\u00a0missing := required - provided  \u00a0 count(missing) > 0 \u00a0\u00a0msg = sprintf(\"you must provide labels: %v\", [missing]) } <\/code><\/pre>\n<p>  <code>provided<\/code>\u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 \u043d\u0430\u0431\u043e\u0440 \u043c\u0435\u0442\u043e\u043a, \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0439 \u0432\u043e \u0432\u0445\u043e\u0434\u043d\u044b\u0445 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430\u0445.<\/p>\n<pre><code class=\"plaintext\">package main  deny[msg] { \u00a0\u00a0input.kind == \"Deployment\"  \u00a0\u00a0required := {\"app\", \"project\"} \u00a0\u00a0provided := {label | input.metadata.labels[label]} \u00a0\u00a0missing := required - provided  \u00a0\u00a0count(missing) > 0 \u00a0\u00a0msg = sprintf(\"you must provide labels: %v\", [missing]) } <\/code><\/pre>\n<p>  \u0417\u0430\u0442\u0435\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044f \u0440\u0430\u0437\u043d\u043e\u0441\u0442\u0438 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432 \u0438 \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u043d\u043e\u0432\u043e\u0435 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0435\u0435 \u043c\u0435\u0442\u043a\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0442 \u0432\u00a0<code>required<\/code>, \u043d\u043e \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0442 \u0432\u00a0<code>provided<\/code>.<\/p>\n<pre><code class=\"plaintext\"> package main  deny[msg] { \u00a0\u00a0input.kind == \"Deployment\"  \u00a0\u00a0required := {\"app\", \"project\"} \u00a0\u00a0provided := {label | input.metadata.labels[label]} \u00a0\u00a0missing := required - provided  \u00a0\u00a0count(missing) > 0 \u00a0\u00a0msg = sprintf(\"you must provide labels: %v\", [missing]) } <\/code><\/pre>\n<p>  \u0415\u0441\u043b\u0438 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u043e\u0432 \u0432 \u044d\u0442\u043e\u043c \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u0435 \u0431\u043e\u043b\u044c\u0448\u0435 0, \u0442\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u043d\u0430\u0440\u0443\u0448\u0435\u043d\u043e. \u042d\u0442\u043e \u0434\u043e\u0441\u0442\u0438\u0433\u0430\u0435\u0442\u0441\u044f \u0437\u0430 \u0441\u0447\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u0438\u00a0<code>count()<\/code>\u00a0\u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0430 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u043e\u0432 \u0432 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u0435 <code>missing<\/code>. \u0412\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u0435 Conftest, \u0443\u043a\u0430\u0437\u0430\u0432 \u044d\u0442\u0443 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443, \u0438 \u0432\u044b \u0443\u0432\u0438\u0434\u0438\u0442\u0435 \u043e\u0448\u0438\u0431\u043a\u0443:<\/p>\n<pre><code class=\"plaintext\">$ conftest test -p conftest-checks\/check_labels.rego test-data\/deployment.yaml FAIL - test-data\/deployment.yaml - you must provide labels: {\"project\"} 1 test, 0 passed, 0 warnings, 1 failure <\/code><\/pre>\n<p>  \u041f\u0440\u043e\u0431\u043b\u0435\u043c\u0443 \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u0440\u0430\u0432\u0438\u0442\u044c, \u0434\u043e\u0431\u0430\u0432\u0438\u0432 \u043c\u0435\u0442\u043a\u0438 <code>project<\/code> \u0438 <code>app<\/code>:  <\/p>\n<pre><code class=\"plaintext\">apiVersion: apps\/v1 kind: Deployment metadata: \u00a0\u00a0name: http-echo \u00a0\u00a0labels: \u00a0\u00a0\u00a0\u00a0app: http-echo \u00a0\u00a0\u00a0\u00a0project: test spec: \u00a0\u00a0replicas: 2 \u00a0\u00a0selector: \u00a0\u00a0\u00a0\u00a0matchLabels: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0app: http-echo \u00a0\u00a0template: \u00a0\u00a0\u00a0\u00a0metadata: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0labels: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0app: http-echo \u00a0\u00a0\u00a0\u00a0spec: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0containers: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- name: http-echo \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image: hashicorp\/http-echo \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0args: [\"-text\", \"hello-world\"] \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0ports: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- containerPort: 5678  \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- name: http-echo-1 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image: hashicorp\/http-echo:latest \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0args: [\"-text\", \"hello-world\"] \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0ports: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- containerPort: 5678 <\/code><\/pre>\n<p>  \u0427\u0442\u043e \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442, \u0435\u0441\u043b\u0438 \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u044c \u0440\u0435\u0441\u0443\u0440\u0441 \u043d\u0435\u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435? \u041f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u043c\u043e\u0436\u043d\u043e \u0431\u0443\u0434\u0435\u0442 \u043e\u0431\u043e\u0439\u0442\u0438. \u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u0434\u043e\u0431\u0430\u0432\u0438\u043c \u0442\u0443 \u0436\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u0432 Gatekeeper.<\/p>\n<p>  \u0421\u043d\u0430\u0447\u0430\u043b\u0430 \u0441\u043e\u0437\u0434\u0430\u0439\u0442\u0435\u00a0<code>ConstraintTemplate<\/code>:<\/p>\n<pre><code class=\"plaintext\">apiVersion: templates.gatekeeper.sh\/v1beta1 kind: ConstraintTemplate metadata: \u00a0\u00a0name: k8srequiredlabels spec: \u00a0\u00a0crd: \u00a0\u00a0\u00a0\u00a0spec: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0names: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0kind: K8sRequiredLabels \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0validation: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0# Schema for the `parameters` field \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0openAPIV3Schema: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0properties: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0labels: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0type: array \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0items: string \u00a0\u00a0targets: \u00a0\u00a0\u00a0\u00a0- target: admission.k8s.gatekeeper.sh \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0rego: | \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0package k8srequiredlabels  \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0violation[{\"msg\": msg, \"details\": {\"missing_labels\": missing}}] { \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0provided := {label | input.review.object.metadata.labels[label]} \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0required := {label | label := input.parameters.labels[_]} \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0missing := required - provided \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0count(missing) > 0 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0msg := sprintf(\"you must provide labels: %v\", [missing]) \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0} <\/code><\/pre>\n<p>  \u0418\u0437 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d\u043d\u043e\u0433\u043e \u0432\u044b\u0448\u0435 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u0430 \u0432\u0438\u0434\u043d\u043e, \u043a\u0430\u043a \u0443\u043a\u0430\u0437\u0430\u0442\u044c \u0432\u0445\u043e\u0434\u043d\u044b\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u0434\u043b\u044f \u0448\u0430\u0431\u043b\u043e\u043d\u0430 <code>constraint<\/code>, \u0447\u0442\u043e\u0431\u044b \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0435\u0433\u043e \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435 \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f.<\/p>\n<p>  \u0412\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u044f\u0441\u044c \u043a \u043d\u0430\u0448\u0435\u043c\u0443 \u0441\u0440\u0430\u0432\u043d\u0435\u043d\u0438\u044e\u00a0<code>ConstraintTemplate<\/code>\u00a0\u0441 \u0440\u0435\u0446\u0435\u043f\u0442\u043e\u043c, \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0432\u0445\u043e\u0434\u043d\u044b\u0445 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432 \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u0431\u0438\u0440\u0430\u0442\u044c \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0435 \u0438\u043d\u0433\u0440\u0435\u0434\u0438\u0435\u043d\u0442\u044b \u0440\u0435\u0446\u0435\u043f\u0442\u0430. \u041e\u0434\u043d\u0430\u043a\u043e \u044d\u0442\u0438 \u0438\u043d\u0433\u0440\u0435\u0434\u0438\u0435\u043d\u0442\u044b \u0434\u043e\u043b\u0436\u043d\u044b \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u043c \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c.<\/p>\n<p>  \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043c\u043e\u0436\u043d\u043e \u0440\u0430\u0437\u0440\u0435\u0448\u0438\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u043c\u0430\u0441\u0441\u0438\u0432 \u0441\u0442\u0440\u043e\u043a \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0432\u0445\u043e\u0434\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0434\u043b\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u0438\u00a0<code>ConstraintTemplate<\/code>. \u041c\u043e\u0436\u043d\u043e \u043e\u043f\u0438\u0441\u0430\u0442\u044c \u0432\u0445\u043e\u0434\u043d\u044b\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u043f\u043e \u0441\u0445\u0435\u043c\u0435 OpenAPIV3 \u0432 \u043e\u0431\u044a\u0435\u043a\u0442\u0435 <code>validation<\/code> \u0432 <code>ConstraintTemplate<\/code>:<\/p>\n<pre><code class=\"plaintext\">apiVersion: templates.gatekeeper.sh\/v1beta1 kind: ConstraintTemplate metadata: \u00a0\u00a0name: k8srequiredlabels spec: \u00a0\u00a0crd: \u00a0\u00a0\u00a0\u00a0spec: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0names: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0kind: K8sRequiredLabels \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0validation: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0# Schema for the `parameters` field \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0openAPIV3Schema: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0properties: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0labels: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0type: array \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0items: string \u00a0\u00a0targets: \u00a0\u00a0\u00a0\u00a0- target: admission.k8s.gatekeeper.sh \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0rego: | \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0package k8srequiredlabels  \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0violation[{\"msg\": msg, \"details\": {\"missing_labels\": missing}}] { \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0provided := {label | input.review.object.metadata.labels[label]} \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0required := {label | label := input.parameters.labels[_]} \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0missing := required - provided \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0count(missing) > 0 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0msg := sprintf(\"you must provide labels: %v\", [missing]) \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0} <\/code><\/pre>\n<p>  \u042d\u0442\u0430 \u0441\u0445\u0435\u043c\u0430 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442, \u0447\u0442\u043e \u0448\u0430\u0431\u043b\u043e\u043d <code>constraint<\/code> \u0434\u043e\u043b\u0436\u0435\u043d \u0438\u043c\u0435\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u043e\u0434\u0438\u043d \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440, <code>labels<\/code>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043e\u0431\u043e\u0439 \u043c\u0430\u0441\u0441\u0438\u0432 \u0441\u0442\u0440\u043e\u043a. \u0412\u0441\u0435 \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0435 \u0432\u0445\u043e\u0434\u043d\u044b\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u044e \u0447\u0435\u0440\u0435\u0437 \u0430\u0442\u0440\u0438\u0431\u0443\u0442 <code>input.parameters<\/code>.<\/p>\n<p>  \u0421\u043e\u0445\u0440\u0430\u043d\u0438\u0442\u0435 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u0439 \u0432\u044b\u0448\u0435 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442 \u0432 \u0444\u0430\u0439\u043b <code>check_labels.yaml<\/code>, \u0430 \u0437\u0430\u0442\u0435\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u0435 <code>kubectl apply<\/code>, \u0447\u0442\u043e\u0431\u044b \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0448\u0430\u0431\u043b\u043e\u043d constraint:<\/p>\n<pre><code class=\"plaintext\">$ kubectl apply -f check_labels.yaml constrainttemplate.templates.gatekeeper.sh\/k8srequiredlabels created<\/code><\/pre>\n<p>  \u0427\u0442\u043e\u0431\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u0438\u0437\u00a0<code>ConstraintTemplate<\/code>, \u043d\u0443\u0436\u0435\u043d Constraint. \u0421\u043e\u0437\u0434\u0430\u0439\u0442\u0435 \u043d\u043e\u0432\u044b\u0439 \u0444\u0430\u0439\u043b <code>check_labels_constraints.yaml<\/code>\u00a0\u0441\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u044b\u043c:<\/p>\n<pre><code class=\"plaintext\">apiVersion: constraints.gatekeeper.sh\/v1beta1 kind: K8sRequiredLabels metadata: \u00a0\u00a0name: deployment-must-have-labels spec: \u00a0\u00a0match: \u00a0\u00a0\u00a0\u00a0kinds: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- apiGroups: [\"apps\"] \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0kinds: [\"Deployment\"] \u00a0\u00a0parameters: \u00a0\u00a0\u00a0\u00a0labels: [\"app\", \"project\"]<\/code><\/pre>\n<p>  \u0412\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u00a0<code>kubectl apply<\/code>,\u00a0\u0447\u0442\u043e\u0431\u044b \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl apply -f check_labels_constraints.yaml k8srequiredlabels.constraints.gatekeeper.sh\/deployment-must-have-labels created<\/code><\/pre>\n<p>  \u041d\u0430 \u044d\u0442\u043e\u043c \u044d\u0442\u0430\u043f\u0435 \u0432 \u0432\u0430\u0448\u0435\u043c \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u043e \u0434\u0432\u0430 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u044f:  <\/p>\n<ol>\n<li><b>\u041f\u0435\u0440\u0432\u043e\u0435 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435<\/b> \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043b\u0438 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043e\u0431\u0440\u0430\u0437 \u0441 \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u044b\u043c \u0442\u0435\u0433\u043e\u043c.  <\/li>\n<li><b>\u0412\u0442\u043e\u0440\u043e\u0435 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435<\/b> \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043b\u0438 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u0434\u0432\u0435 \u043c\u0435\u0442\u043a\u0438:\u00a0<code>app<\/code> \u0438 <code>project<\/code>.  <\/li>\n<\/ol>\n<p>  \u0422\u0435\u043f\u0435\u0440\u044c \u043f\u043e\u043f\u0440\u043e\u0431\u0443\u0439\u0442\u0435 \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435, \u043e\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0435 \u0432 \u043d\u0430\u0447\u0430\u043b\u0435 \u0441\u0442\u0430\u0442\u044c\u0438:  <\/p>\n<pre><code class=\"plaintext\">$ kubectl apply -f deployment.yaml Error from server ([denied by deployment-must-have-labels] you must provide labels: {\"project\"} [denied by valid-image-tag] image 'hashicorp\/http-echo' doesn't specify a valid tag [denied by valid-image-tag] image 'hashicorp\/http-echo:latest' uses latest tag): error when creating \"deployment.yaml\": admission webhook \"validation.gatekeeper.sh\" denied the request: [denied by deployment-must-have-labels] you must provide labels: {\"project\"} [denied by valid-image-tag] image 'hashicorp\/http-echo' doesn't specify a valid tag [denied by valid-image-tag] image 'hashicorp\/http-echo:latest' uses latest tag<\/code><\/pre>\n<p>  \u0421\u043e\u0437\u0434\u0430\u0442\u044c \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043d\u0435 \u0443\u0434\u0430\u0435\u0442\u0441\u044f, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u0443 \u043d\u0435\u0433\u043e \u043d\u0435\u0442 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0439 \u043c\u0435\u0442\u043a\u0438 <code>project<\/code> \u0438 \u043e\u043d\u043e \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u044b\u0439 \u0442\u0435\u0433 \u043e\u0431\u0440\u0430\u0437\u0430. \u0413\u043e\u0442\u043e\u0432\u043e!<\/p>\n<p>  \u041f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u044b\u0439 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0431\u0443\u0434\u0435\u0442 \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u043e, \u0438\u043c\u0435\u0435\u0442 \u0434\u0432\u0435 \u043c\u0435\u0442\u043a\u0438 (<code>app<\/code> \u0438 <code>project<\/code>), \u0430 \u0442\u0430\u043a\u0436\u0435 \u043e\u0431\u0440\u0430\u0437\u044b \u0441 \u0442\u0435\u0433\u0430\u043c\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f:<\/p>\n<pre><code class=\"plaintext\">apiVersion: apps\/v1 kind: Deployment metadata: \u00a0\u00a0name: http-echo \u00a0\u00a0labels: \u00a0\u00a0\u00a0\u00a0app: http-echo \u00a0\u00a0\u00a0\u00a0project: test spec: \u00a0\u00a0replicas: 2 \u00a0\u00a0selector: \u00a0\u00a0\u00a0\u00a0matchLabels: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0app: http-echo \u00a0\u00a0template: \u00a0\u00a0\u00a0\u00a0metadata: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0labels: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0app: http-echo \u00a0\u00a0\u00a0\u00a0spec: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0containers: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- name: http-echo \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image: hashicorp\/http-echo:0.2.3 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0args: [\"-text\", \"hello-world\"] \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0ports: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- containerPort: 5678  \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- name: http-echo-1 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0image: hashicorp\/http-echo:0.2.1 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0args: [\"-text\", \"hello-world\"] \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0ports: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0- containerPort: 5678<\/code><\/pre>\n<p>  \u0412\u044b \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u043b\u0438 Deployment \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u0438 \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438. \u0421\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0430\u044f \u043d\u0430 \u0440\u0430\u043d\u043d\u0438\u0445 \u044d\u0442\u0430\u043f\u0430\u0445 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0441\u0442\u0440\u043e \u0432\u044b\u044f\u0432\u0438\u0442\u044c \u043d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u0435 \u043f\u0440\u0430\u0432\u0438\u043b, \u0438 \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u043d\u0438\u043a\u0442\u043e \u043d\u0435 \u043e\u0431\u043e\u0439\u0434\u0435\u0442 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443, \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u044f \u0440\u0435\u0441\u0443\u0440\u0441\u044b \u043d\u0435\u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440.<\/p>\n<h2>\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/h2>\n<p>  \u0418 Conftest, \u0438 Gatekeeper \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u044f\u0437\u044b\u043a Rego \u0434\u043b\u044f \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u043a, \u0438\u043c\u0435\u043d\u043d\u043e \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u044d\u0442\u0438 \u0434\u0432\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430 \u0441\u0442\u0430\u043d\u043e\u0432\u044f\u0442\u0441\u044f \u043f\u0440\u0438\u0432\u043b\u0435\u043a\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u043c \u0440\u0435\u0448\u0435\u043d\u0438\u0435\u043c \u0434\u043b\u044f \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u0432\u043d\u0435\u043a\u043b\u0430\u0441\u0442\u0435\u0440\u043d\u044b\u0445 \u0438 \u0432\u043d\u0443\u0442\u0440\u0438\u043a\u043b\u0430\u0441\u0442\u0435\u0440\u043d\u044b\u0445 \u043f\u0440\u043e\u0432\u0435\u0440\u043e\u043a \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e.<\/p>\n<p>  \u041d\u043e, \u043a\u0430\u043a \u043c\u044b \u0432\u0438\u0434\u0435\u043b\u0438 \u0432\u044b\u0448\u0435,\u00a0\u0447\u0442\u043e\u0431\u044b <b>\u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430 Conftest Rego \u0440\u0430\u0431\u043e\u0442\u0430\u043b\u0430 \u0441 Gatekeeper, \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0432\u043d\u0435\u0441\u0442\u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439<\/b>. \u041f\u0440\u043e\u0435\u043a\u0442\u00a0<a href=\"https:\/\/github.com\/plexsystems\/konstraint\">konstraint<\/a>\u00a0\u043f\u0440\u0438\u0437\u0432\u0430\u043d \u0432 \u044d\u0442\u043e\u043c \u043f\u043e\u043c\u043e\u0447\u044c. \u0412 \u0435\u0433\u043e \u043e\u0441\u043d\u043e\u0432\u0435 \u043b\u0435\u0436\u0438\u0442 \u0438\u0434\u0435\u044f, \u0447\u0442\u043e \u0432\u0430\u0448 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a \u0438\u0441\u0442\u0438\u043d\u044b \u2014 \u044d\u0442\u043e \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u0430\u044f \u043d\u0430 Rego \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430 \u0434\u043b\u044f Conftest, \u0441\u043e\u0433\u043b\u0430\u0441\u043d\u043e \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0440\u0435\u0441\u0443\u0440\u0441\u044b <code>ConstraintTemplate<\/code>\u00a0\u0438 <code>Constraint<\/code> \u0434\u043b\u044f Gatekeeper.<\/p>\n<p>  <b>Konstraint \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u0443\u0435\u0442 \u0440\u0443\u0447\u043d\u044b\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 \u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438, \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0439 \u0434\u043b\u044f Conftest, \u0432 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0432 Gatekeeper<\/b>.<\/p>\n<p>  \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, konstraint \u0443\u043f\u0440\u043e\u0449\u0430\u0435\u0442 \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0448\u0430\u0431\u043b\u043e\u043d\u043e\u0432 constraint \u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0439 \u0432 Gatekeeper.<\/p>\n<p>  Conftest \u0438 Gatekeeper \u2014 \u044d\u0442\u043e \u043d\u0435 \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0434\u043b\u044f \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u0432\u043d\u0435\u043a\u043b\u0430\u0441\u0442\u0435\u0440\u043d\u044b\u0445 \u0438 \u0432\u043d\u0443\u0442\u0440\u0438\u043a\u043b\u0430\u0441\u0442\u0435\u0440\u043d\u044b\u0445 \u043f\u043e\u043b\u0438\u0442\u0438\u043a. \u041f\u0440\u0438\u0432\u043b\u0435\u043a\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u044d\u0442\u0438\u0445 \u0434\u0432\u0443\u0445 \u0440\u0435\u0448\u0435\u043d\u0438\u0439 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0434\u043b\u044f \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u043a \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c Rego \u0434\u043b\u044f \u043e\u0431\u043e\u0438\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432. \u041c\u043e\u0436\u043d\u043e \u0434\u0430\u0436\u0435 \u043f\u043e\u0439\u0442\u0438 \u0434\u0430\u043b\u044c\u0448\u0435 \u0438 \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u0442\u044c \u043f\u043e\u0434\u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0445 \u043f\u043e\u043b\u0438\u0442\u0438\u043a \u0432\u043d\u0443\u0442\u0440\u0438 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430 \u0438 \u0437\u0430 \u0435\u0433\u043e \u043f\u0440\u0435\u0434\u0435\u043b\u0430\u043c\u0438.<\/p>\n<p>  \u0422\u0430\u043a\u043e\u0439 \u0436\u0435 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u043a \u0434\u043e\u0441\u0442\u0438\u0433\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u043e\u0433\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u044f\u00a0<a href=\"https:\/\/github.com\/FairwindsOps\/polaris\">polaris<\/a>, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u044b \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u0432\u043d\u0435\u043a\u043b\u0430\u0441\u0442\u0435\u0440\u043d\u043e\u0439 \u0438 \u0432\u043d\u0443\u0442\u0440\u0438\u043a\u043b\u0430\u0441\u0442\u0435\u0440\u043d\u043e\u0439 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438.<\/p>\n<blockquote><p>\u041c\u044b \u0440\u0430\u0437\u0432\u0438\u0432\u0430\u0435\u043c \u043d\u0430\u0448 <a href=\"https:\/\/mcs.mail.ru\/containers\/\">\u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 Kubernetes aaS<\/a>, \u043e \u043d\u0435\u043c <a href=\"https:\/\/habr.com\/ru\/company\/mailru\/blog\/519366\/\">\u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u043b\u0438 \u0432 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435<\/a>. \u0418 \u0443 \u043d\u0430\u0441 \u0442\u043e\u0436\u0435 \u0435\u0441\u0442\u044c Gatekeeper, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u0442\u044c \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0440\u0430\u0431\u043e\u0447\u0438\u043c\u0438 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430\u043c\u0438. \u0411\u0443\u0434\u0435\u043c \u043f\u0440\u0438\u0437\u043d\u0430\u0442\u0435\u043b\u044c\u043d\u044b, \u0435\u0441\u043b\u0438 \u0432\u044b \u0435\u0433\u043e \u043f\u0440\u043e\u0442\u0435\u0441\u0442\u0438\u0440\u0443\u0435\u0442\u0435 \u0438 \u0434\u0430\u0434\u0438\u0442\u0435 \u043e\u0431\u0440\u0430\u0442\u043d\u0443\u044e \u0441\u0432\u044f\u0437\u044c. \u0414\u043b\u044f \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c \u043f\u0440\u0438 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0446\u0438\u0438 \u043d\u0430\u0447\u0438\u0441\u043b\u044f\u0435\u043c 3000 \u0431\u043e\u043d\u0443\u0441\u043d\u044b\u0445 \u0440\u0443\u0431\u043b\u0435\u0439.<\/p><\/blockquote>\n<p>  <b>\u0427\u0442\u043e \u0435\u0449\u0435 \u043f\u043e\u0447\u0438\u0442\u0430\u0442\u044c:<\/b>  <\/p>\n<ol>\n<li><a href=\"https:\/\/habr.com\/ru\/company\/mailru\/blog\/484334\/\">\u0420\u0430\u0431\u043e\u0447\u0438\u0435 \u0443\u0437\u043b\u044b Kubernetes: \u043c\u043d\u043e\u0433\u043e \u043c\u0430\u043b\u0435\u043d\u044c\u043a\u0438\u0445 \u0438\u043b\u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0431\u043e\u043b\u044c\u0448\u0438\u0445?<\/a>  <\/li>\n<li><a href=\"https:\/\/mcs.mail.ru\/blog\/troubleshooting-kubernetes\">\u0423\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0435 \u043d\u0435\u043f\u043e\u043b\u0430\u0434\u043e\u043a \u0432 Kubernetes: \u0432 \u043a\u0430\u043a\u043e\u043c \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0438 \u0434\u0432\u0438\u0433\u0430\u0442\u044c\u0441\u044f, \u0435\u0441\u043b\u0438 \u0447\u0442\u043e-\u0442\u043e \u0438\u0434\u0435\u0442 \u043d\u0435 \u0442\u0430\u043a<\/a>  <\/li>\n<li><a href=\"https:\/\/t.me\/k8s_mail\">Telegram-\u043a\u0430\u043d\u0430\u043b \u0441 \u043d\u043e\u0432\u043e\u0441\u0442\u044f\u043c\u0438 \u043e Kubernetes<\/a>  <\/li>\n<\/ol>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"v-portal\" style=\"display:none;\"><\/div>\n<\/div>\n<p> <!----> <!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/company\/vk\/blog\/646463\/\"> https:\/\/habr.com\/ru\/company\/vk\/blog\/646463\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><img loading=\"lazy\" decoding=\"async\" height=\"1\" src=\"https:\/\/www.facebook.com\/tr?id=2004216989903634&amp;ev=habr_k8s&amp;noscript=1\" width=\"1\" style=\"display: none;\"><img loading=\"lazy\" decoding=\"async\" height=\"1\" src=\"https:\/\/www.facebook.com\/tr?id=2004216989903634&amp;ev=habr_devops&amp;noscript=1\" width=\"1\" style=\"display: none;\"><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body_version-1\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\"><img decoding=\"async\" src=\"\/img\/image-loader.svg\" data-src=\"https:\/\/habrastorage.org\/webt\/lm\/am\/un\/lmamuncosju-phfbaynrdue-boy.png\"\/><br \/>  <a href=\"https:\/\/www.deviantart.com\/matthias-haker\/art\/Control-548364683\">Control by Matthias-Haker<\/a><\/p>\n<p>  \u0412 Kubernetes \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0442\u0438\u0442\u044c \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0445 \u0440\u0430\u0431\u043e\u0447\u0438\u0445 \u043d\u0430\u0433\u0440\u0443\u0437\u043e\u043a \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435.\u00a0  <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-328392","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/328392","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=328392"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/328392\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=328392"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=328392"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=328392"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}