Skip to content

Sandbox overlay krijgt restrictief AppProject (zoals odcn-production) #89

Description

@uittenbroekrobbert

Context

PR #78 vervangt het ingebouwde ArgoCD default AppProject met een restrictief rig-platform AppProject op odcn-production — pin op exacte source-repos, destination-namespaces, en cluster-scoped resource-whitelist. Hiermee is een supply-chain-takeover via push naar GitOps-repos beperkt.

Waarom follow-up

PR #78 richtte zich bewust op productie eerst (hoogste blast radius). Sandbox (sandboxed-local) draait nog steeds met default AppProject (sourceRepos: *, destinations: *, clusterResourceWhitelist: *) — een tweede instap-pad voor dezelfde aanval, alleen op een dev-cluster.

Aanpak

Vergelijkbare overlay-edit als #78 maar op sandboxed-local:

  • Nieuwe rig-platform AppProject in sandbox-overlay
  • Source-repos op de daadwerkelijke sandbox-repos (Forgejo in-cluster)
  • Destinations pinning op sandbox-namespaces
  • Cluster-resource-whitelist op de daadwerkelijke kinds (kruisrefereer met sandbox-overlays)
  • Applications van project: default naar project: rig-platform

Eenvoudiger dan #78 want geen SOPS-versleutelde overlay-onbekenden.

Bron-PR

Metadata

Metadata

Assignees

No one assigned

    Labels

    enhancementNew feature or request

    Type

    No type

    Fields

    No fields configured for issues without a type.

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions