2.7. Integrity shield 保護(テクノロジープレビュー)
Integrity shield は、リソースの作成または更新要求に対する署名検証を強制するための整合性制御に役立つツールです。integrity shield は Open Policy Agent(OPA)および Gatekeeper をサポートし、要求に署名があるかどうかを検証し、定義した制約に従って承認されていない要求をブロックします。
以下の整合性シールド機能を参照してください。
- 承認された Kubernetes マニフェストのデプロイメントのみをサポートします。
- リソースが許可リストに追加されていない限り、リソース設定でのゼロ(zero-drift)をサポートします。
- 受付コントローラーの強制など、クラスターですべての整合性検証を実行します。
- リソースを継続的に監視して、承認されていない Kubernetes リソースがクラスターにデプロイされているかどうかを報告します。
-
X509、GPG、および Sigstore 署名は、Kubernetes マニフェスト YAML ファイルの署名でサポートされます。Kubernetes integrity shield は、
k8s-manifest-sigstoreを使用して Sigstore 署名をサポートします。
2.7.1. Integrity-shield アーキテクチャー
Integrity shield は、API と Observer の 2 つの主要コンポーネントで構成されています。Integrity shield オペレーターは、クラスター上の整合性コンポーネントのインストールおよび管理をサポートします。コンポーネントに関する以下の情報を表示します。
-
Integrity shield API は、OPA または gatekeeper から Kubernetes リソースを受け取り、受付要求に含まれるリソースを検証し、検証結果を OPA または gatekeeper に送信します。Integrity-shield API は、
k機能を内部で使用し、Kubernetes マニフェストの YAML ファイルを検証します。Integrity shield API は、OPA または gatekeeper の制約フレームワークに基づくカスタムリソースである8s-manifest-sigstore の verify-resourceManifestingIntegrityConstraintに基づいてリソースを検証します。 -
Integrity shield Observer は、MirroringIntegrity
Constraintリソースに従ってクラスターの Kubernetes リソースを継続的に 検証し、結果をManifestIntegrityStateと呼ばれるリソースにエクスポートします。Integrity shield Observer もk8s-manifest-sigstoreを使用して署名を検証します。
