feat: switch Kyverno to Enforce mode #157
Loading…
x
Reference in New Issue
Block a user
No description provided.
Delete Branch "feature/kyverno-enforce"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
All images signed. CI signs automatically. Enforce mode blocks unsigned images.
AI Code Review
Kyverno Enforce Mode — Review
Одобрено с замечаниями.
Критические вопросы
Зависимость от CI/Signing: PR ссылается на «CI signs automatically», но нет ссылки на:
verify-images.yamlдолжна быть ссылка на secret или ConfigMap с публичным ключом)Действие: Убедиться, что публичный ключ Cosign развёрнут и policy правильно его использует.
Backwards compatibility: Какие образы уже подписаны?
Enforceзаблокирует их деплой.Auditрежиме, какие образы падают.Действие: Перед мержем — включить
Auditв staging, собрать логи нарушений (1–2 дня), убедиться в полноте подписей.Операционные замечания
webhookTimeoutSeconds: 30 — OK, но при большом количестве image-verifications может быть узким местом. Мониторить latency Kyverno webhook.
failurePolicy: Ignore — означает, что если webhook недоступен, pod создаётся без проверки. Приемлемо для non-critical, но убедиться:
background: true — хорошо, проверит существующие pod'ы. Но может вызвать волну pod evictions при мерже. Проверить:
excludeResourcesв policyОтсутствующие детали в PR
Рекомендация: Перед мержем в main — запустить в dev/staging с
Auditминимум 48h, собрать evidence, что все образы подписаны.Automated review by Claude Haiku | advisory, does not block merge