5. in good we
trust
good skills good
services
Conseil
Conception
& Architecture
Intégration
Gouvernance projet
& Cycle de vie
+15 ans d’existence
2002
13
130
M€
Notre quotidien pour
délivrer
la meilleure solution
à nos clients.
+700 projets
Spécialistes Cloud
Experts sur solutions de
nouvelle génération
Formés et certifiés
Encadrés par des consultants
ESN spécialisée dans
les technologies
d’infrastructures IT de
nouvelle génération
6. 6
L’ histoire de Metanext
2002 Création
Metanext
Acquisition VIRTIC, spécialiste VMware
2015
Offre OpenStack Production Ready
2018
1er
MSC VMware en France
2005 Centre d’Expertises Système,
Stockage, Réseaux
2010 Orientation Cloud Advisor &
Builder
Spécialiste Kubernetes /
Microservices 2019
BU Cloud Computing
OpenSource
OpenStack
CI/CD
Containers
Kubernetes
Automatisation
Orchestration
VMware
vSphere
Suite vRealize
NSX
vSAN
Horizon
VMC on AWS
PKS
VMware vRealize Suite
Lifecycle Manager
Cloud Public
Amazon Web
Services
Google Cloud
Platform
Azure
Alibaba
OVH
7. ▪ Conseil & Expertise OpenSource : Containers & Orchestration de
Containers
Un partenariat évident avec
faisant de nous
le principal cabinet de conseil et intégrateur
pour PKS en France
02/07/2019 Reproduction et Diffusion interdite sans l’accord de Metanext 7
▪ Fort partenariat historique avec VMware et une expertise sur les
solutions VMware
▪ 1er
partenaire Master Services Competency DCV en France
▪ A ce jour, 2 status MSC : DCV + NV
&
▪ Une rencontre au VMworld 2018 avec les VP VMware & Pivotal
▪ Une évidence :
▪ Une association entre VMware & Pivotal
▪ Une combinaison de savoir-faire et d’expertises entre les
équipes OpenSource & VMware de Metanext
16. La sécurité tout le long du cycle de votre
application
16
Conception
CIBuilddockerimageTestyourkubemanifest
CDDeployyourmanifests
Runtime
Application
lifecycleonk8s
Décommission
17. Focus de la session
17
Conception
CIBuilddockerimageTestyourkube
manifest
CD
Deployyour
manifests
Runtime
Application
lifecycleon
k8s
Décommiss
ion
19. Harbor Registry
L’offre PKS de Pivotal
19
OpenSource
Scan des vulnérabilités
Scan de sécurité
Signature des conteneurs
Multi-tenant
RBAC
K8S Security
Features
RBAC
Network Policies
Security Context
Admission Controller
….
Uaa Server MarketPlace
Oauth2
SSO
Kubernetes Authentication
RBAC
Etendre PKS avec des
solutions partenaire,
communautaires …
(Twistlock par exemple)
20. A quels moments interviennent les
composants ?
Conception
CIBuilddockerimageTestyourkube
manifest
CD
Deployyour
manifests
Runtime
Application
lifecycleon
k8s
Decommiss
ion
21. PodSecurityPolicy arrivent sur PKS
Mise en place avec la version 1.4 de PKS
21
gcloud beta container clusters
create mycluster
--enable-pod-security-policy
gcloud beta container clusters
update mycluster
--no-enable-pod-security-policy
Activé par défaut pour k8S > 1.12
Comment ça
s’active ?
24. Qu’est-ce que ça couvre ?
▪ L’exécution de
containers privilégiés
▪ L’utilisation des
namespaces de l’hôte
▪ Types de volumes
utilisables
▪ Volumes de l’hôtes
utilisables
▪ fsGroup
▪ UID et GID des
containers
▪ Contrôle de l’escalade de 24
▪ Linux Capabilities
authorisées
▪ Contextes seLinux
▪ Profiles AppArmor
▪ Profiles Seccomp
▪ Profiles Sysctl
▪ …
32. Qu’est-ce que ça couvre ?
L’intégralités des ressources d’un manifest Kubernetes.
Exemples:
-Interdire la création de Pods sans ressources limités
-Interdire certains Registry Docker / OCI
-Fixer un minimum de réplicats dans un déploiement
-Interdire certains fqdns par namespaces
32
34. OPA et PSP redondants ?
34
PS
P
OP
A
• Associé à un User / SA
• Pod Centric
• Orienté système
• Orienté runtime
• Natif Kubernetes
• Orienté création et
modification
• Toutes les ressources
peuvent être
controllées
• Règles complexes
possibles à mettre en
œuvre
36. Améliorer la sécurité lors de la CI : Conftest !
▪Outil OpenSource de Instrumenta
▪Basé sur Open Policy Agent
▪Quasi-réutilisation des policies Rego utilisées pour OPA
▪Packaging des Policies en OCI registry
36