סקירה כללית של Policy Controller

בדף הזה מוסבר מהו Policy Controller ואיך אפשר להשתמש בו כדי לוודא שאשכולות Kubernetes ועומסי העבודה פועלים בצורה מאובטחת ותואמת.

הדף הזה מיועד לאדמינים של IT, לאופרטורים ולמומחי אבטחה שמגדירים פתרונות IT ואדריכלות מערכת בהתאם לאסטרטגיה של החברה, ומוודאים שכל המשאבים שפועלים בפלטפורמת הענן עומדים בדרישות התאימות הארגוניות. הם עושים זאת באמצעות אספקת אוטומציה ותחזוקה שלה לצורך ביקורת או אכיפה. כדי לקבל מידע נוסף על תפקידים נפוצים ועל משימות לדוגמה שאנחנו מתייחסים אליהן ב Google Cloud תוכן, אפשר לעיין במאמר תפקידים נפוצים של משתמשי GKE ומשימות.

Policy Controller מאפשר להחיל מדיניות שניתנת לתכנות על אשכולות Kubernetes. כללי המדיניות האלה פועלים כמגבלות ויכולים לעזור בשיטות מומלצות, באבטחה ובניהול התאימות של האשכולות והצי שלכם. ‫Policy Controller מבוסס על פרויקט הקוד הפתוח Open Policy Agent Gatekeeper, משולב באופן מלא עם Google Cloud, כולל לוח בקרה מובנה לצפייה, ומגיע עם ספרייה מלאה של מדיניות מוכנה מראש לאמצעי בקרה נפוצים בתחומי האבטחה והתאימות.

היתרונות של Policy Controller

  • משולב עם Google Cloud: אדמינים של פלטפורמות יכולים להתקין את Policy Controller באמצעות מסוף Google Cloud , באמצעות Terraform או באמצעות Google Cloud CLI בכל אשכול שמחובר לצי. ‫Policy Controller פועל עם שירותים אחרים שלGoogle Cloud , כמו סנכרון תצורות, מדדים ו-Cloud Monitoring.
  • תמיכה בכמה נקודות אכיפה: בנוסף לביקורת ולבקרת כניסה עבור האשכול, Policy Controller יכול לאפשר אופציונלית גישה של להקדים בדיקות כדי לנתח ולזהות שינויים שלא עומדים בדרישות לפני ההחלה.
  • חבילות מדיניות מוכנות מראש: Policy Controller מגיע עם ספרייה מלאה של מדיניות מוכנה מראש לאמצעי בקרה נפוצים של אבטחה ותאימות. הם כוללים גם חבילות מדיניות וגם את ספריית תבניות האילוצים.
  • תמיכה במדיניות בהתאמה אישית: אם נדרשת התאמה אישית של המדיניות מעבר למה שזמין באמצעות ספריית תבניות האילוצים, Policy Controller תומך גם בפיתוח של תבניות אילוצים בהתאמה אישית.
  • יכולת מובנית של מעקב אחר נתונים: Policy Controller כולל Google Cloud מסוף לוח בקרה, שמספק סקירה כללית של המצב של כל המדיניות שחלה על הצי (כולל אשכולות לא רשומים). במרכז הבקרה אפשר לראות את סטטוס התאימות והאכיפה כדי לפתור בעיות, ולקבל המלצות מפורטות לפתרון הפרות של המדיניות.

חבילות מדיניות

אפשר להשתמש בחבילות מדיניות כדי להחיל מספר אילוצים שמקובצים לפי נושא ספציפי של תקן, אבטחה או תאימות של Kubernetes. לדוגמה, אפשר להשתמש בחבילות המדיניות הבאות:

במאמר בנושא חבילות של Policy Controller מופיעים פרטים נוספים ורשימה של חבילות מדיניות שזמינות כרגע.

מגבלות

‫Policy Controller אוכף את התאימות של האשכולות באמצעות אובייקטים שנקראים constraints. אפשר לחשוב על אילוצים כעל אבני הבניין של המדיניות. כל אילוץ מגדיר שינוי ספציפי ב-Kubernetes API שמותר או אסור באשכול שאליו הוא מוחל. אתם יכולים להגדיר מדיניות שתחסום באופן פעיל בקשות API שלא עומדות בדרישות, או שתבדוק את ההגדרה של האשכולות ותדווח על הפרות. בכל מקרה, תוכלו לראות הודעות אזהרה עם פרטים על ההפרה שהתרחשה באשכול. בעזרת המידע הזה, תוכלו לפתור את הבעיות. לדוגמה, אפשר להשתמש באילוצים הבודדים הבאים:

אלה רק חלק מהאילוצים שמופיעים בספריית תבניות האילוצים שכלולה ב-Policy Controller. הספרייה הזו מכילה מדיניות רבות שבהן אפשר להשתמש כדי לאכוף שיטות מומלצות ולהגביל את הסיכון. אם אתם צריכים התאמה אישית נוספת מעבר למה שזמין בספריית תבניות האילוצים, אתם יכולים גם ליצור תבניות אילוצים בהתאמה אישית.

אפשר להחיל אילוצים ישירות על האשכולות באמצעות Kubernetes API, או להפיץ אותם לקבוצה של אשכולות ממקור מרכזי, כמו מאגר Git, באמצעות סנכרון תצורות.

המאמרים הבאים