{"meta":{"title":"Контроллер допуска Kubernetes","intro":"Узнайте, как использовать контроллер допуска для применения аттестаций артефактов в кластере Kubernetes.","product":"GitHub Actions","breadcrumbs":[{"href":"/ru/actions","title":"GitHub Actions"},{"href":"/ru/actions/concepts","title":"Основные понятия"},{"href":"/ru/actions/concepts/security","title":"Безопасность"},{"href":"/ru/actions/concepts/security/kubernetes-admissions-controller","title":"Контроллер допуска Kubernetes"}],"documentType":"article"},"body":"# Контроллер допуска Kubernetes\n\nУзнайте, как использовать контроллер допуска для применения аттестаций артефактов в кластере Kubernetes.\n\n## О контроллере допуска Kubernetes\n\n```\n          [Аттестации артефактов](/actions/security-guides/using-artifact-attestations-to-establish-provenance-for-builds) позволяют создавать нефиксируемые проверки подлинности и гарантии целостности создаваемого программного обеспечения. В свою очередь, пользователи, использующие программное обеспечение, могут проверить, где и как было создано ваше программное обеспечение.\n```\n\nКонтроллеры допуска Kubernetes — это подключаемые модули, которые управляют поведением сервера API Kubernetes. Они обычно используются для применения политик безопасности и рекомендаций в кластере Kubernetes.\n\nС помощью проекта контроллера[ политики Sigstore открытый код ](https://docs.sigstore.dev/policy-controller/overview/)можно добавить контроллер допуска в кластер Kubernetes, который может применять аттестации артефактов. Таким образом, можно обеспечить развертывание только артефактов с допустимыми аттестациями.\n\nЧтобы [установить контроллер](/ru/actions/how-tos/security-for-github-actions/using-artifact-attestations/enforcing-artifact-attestations-with-a-kubernetes-admission-controller), мы предлагаем [две диаграммы](https://github.com/github/artifact-attestations-helm-charts) Helm: один для развертывания контроллера политики Sigstore, а другой для загрузки корневого каталога доверия GitHub и политики по умолчанию.\n\n### Сведения о проверке изображения\n\nКогда контроллер политики установлен, он перехватит все запросы на вытягивание образа и проверяет аттестацию для образа. Аттестация должна храниться в реестре образов в виде [присоединенного артефакта](https://oras.land/docs/concepts/reftypes/) OCI, содержащего [пакет](https://docs.sigstore.dev/about/bundle/) Sigstore, содержащий аттестацию и криптографический материал (например, сертификаты и подписи), используемые для проверки аттестации. Затем выполняется процесс проверки, который гарантирует, что образ был создан с указанным подтверждением сборки и соответствует любым политикам, включенным администратором кластера.\n\nЧтобы образ был проверяемым, он должен иметь действительную аттестацию проверки в реестре, которая может быть выполнена путем включения `push-to-registry: true` атрибута в действии `actions/attest` . Дополнительные сведения о создании аттестаций для образов контейнеров см. в статье [\"Создание подтверждения сборки для](/ru/actions/security-guides/using-artifact-attestations-to-establish-provenance-for-builds#generating-build-provenance-for-container-images) образов контейнеров\".\n\n### Сведения о корнях доверия и политиках\n\nКонтроллер политики Sigstore в основном настраивается с корнем доверия и политиками, представленными пользовательскими ресурсами `TrustRoot` и `ClusterImagePolicy`. A `TrustRoot` представляет доверенный канал распространения для материала открытого ключа, используемого для проверки аттестаций. Представляет `ClusterImagePolicy` политику для применения аттестаций на изображениях.\n\nТакже `TrustRoot` может содержать корневой [каталог репозитория TUF](https://theupdateframework.io/) , что позволяет кластеру непрерывно и безопасно получать обновления для его доверенного материала открытого ключа. Если не указано, по умолчанию используется `ClusterImagePolicy` ключевой материал открытый код Sigstore Public Good Instance. При проверке аттестаций, созданных для частных репозиториев, `ClusterImagePolicy` необходимо ссылаться на GitHub `TrustRoot`.\n\n## Следующие шаги\n\nКогда вы будете готовы использовать контроллер допуска, см [. раздел AUTOTITLE](/ru/actions/how-tos/security-for-github-actions/using-artifact-attestations/enforcing-artifact-attestations-with-a-kubernetes-admission-controller)."}