Mehrere Policy Controller-Bundles anwenden

Auf dieser Seite wird erläutert, wie Sie Policy Controller-Bundles aktivieren.

Ausführlichere Informationen zum Anwenden und Verwenden von Richtlinien-Bundles finden Sie in der Anleitung für das Bundle, das Sie über das linke Navigationsmenü anwenden möchten. Weitere Informationen zu Richtlinien-Bundles finden Sie in der Übersicht über Policy Controller-Bundles.

Wenn Sie Policy Controller über die Google Cloud Konsole installiert haben, wird das Policy Essentials-Bundle standardmäßig installiert. Sie können jedoch weitere Bundles aktivieren.

Hinweise

Richtlinien-Bundles anwenden

Console

Führen Sie die folgenden Schritte aus, um ein oder mehrere Richtlinienpakete auf einen Cluster anzuwenden: Google Cloud

  1. Rufen Sie in der Google Cloud Console im Abschnitt Statusverwaltung die Seite Richtlinie auf.

    Zur Richtlinie

  2. Wählen Sie auf dem Tab Einstellungen in der Clustertabelle in der Spalte Konfiguration bearbeiten die Option Bearbeiten aus.

  3. Achten Sie im Menü Richtlinien-Bundles hinzufügen/bearbeiten darauf, dass die Vorlagenbibliothek aktiviert ist.

  4. Wenn Sie alle Richtlinien-Bundles aktivieren möchten, stellen Sie Alle Richtlinien-Bundles hinzufügen auf .

  5. Wenn Sie einzelne Richtlinienpakete aktivieren möchten, aktivieren Sie die entsprechenden Pakete.

  6. Optional: Wenn Sie einen Namespace von der Erzwingung ausnehmen möchten, maximieren Sie das Menü Erweiterte Einstellungen anzeigen. Geben Sie im Feld Ausnahmefähige Namespaces eine Liste gültiger Namespaces an.

    Best Practice:

    Nehmen Sie System-Namespaces aus, um Fehler in Ihrer Umgebung zu vermeiden. Eine Anleitung zum Ausschließen von Namespaces und eine Liste der gängigen Namespaces, die von Google Cloud -Diensten erstellt werden, finden Sie auf der Seite Namespaces ausschließen.

  7. Wählen Sie Änderungen speichern aus.

Weitere Informationen zur Richtlinienabdeckung und zu Verstößen finden Sie im Policy Controller-Dashboard.

gcloud

So wenden Sie ein Richtlinienpaket an:

  1. Wenn eines der Bundles, die Sie anwenden, referenzielle Einschränkungen verwendet, müssen Sie die Unterstützung für referenzielle Einschränkungen aktivieren:

    gcloud container fleet policycontroller update --referential-rules
    

    In der Übersicht über Richtlinien-Bundles können Sie nachsehen, ob für ein Bundle die Unterstützung für referenzielle Einschränkungen erforderlich ist.

  2. Führen Sie für jedes Bundle, das Sie installieren möchten, den folgenden Befehl aus:

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME
    

    Ersetzen Sie BUNDLE_NAME durch den Namen des Bundles, das Sie installieren möchten. Der Name ist das Bundle-Präfix, z. B. cis-k8s-v1.5.1. Eine Liste der Namen finden Sie unter Übersicht über Richtlinienpakete.

  3. Optional: Führen Sie den folgenden Befehl aus, um einen Namespace von der Erzwingung auszunehmen:

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
      --exempted-namespaces=NAMESPACES
    

    Ersetzen Sie NAMESPACES durch eine kommagetrennte Liste von Namespaces, die nicht erzwungen werden sollen, z. B. kube-system,gatekeeper-system.

    Weitere Informationen zum Hinzufügen ausgenommener Namespaces finden Sie unter Namespaces vom Policy Controller ausschließen.

  4. Führen Sie den folgenden Befehl aus, um ein Bundle zu entfernen:

    gcloud container fleet policycontroller content bundles remove BUNDLE_NAME
    

Fehlerbehebung

Richtlinienpakete, die direkt über die Anleitung auf dieser Seite installiert werden, können nicht geändert werden. Wenn Sie Probleme mit einem Richtlinienpaket haben und Änderungen vornehmen müssen, installieren Sie das Paket mit einer der Methoden auf der Seite des jeweiligen Richtlinienpakets. Bei diesen Methoden wird das Richtlinienbündel aus einem Git-Repository abgerufen, sodass Sie Änderungen vornehmen können. Wenn Sie beispielsweise die CIS-Kubernetes-Benchmark 1.5 bearbeiten möchten, folgen Sie der Anleitung auf der Seite CIS-Kubernetes-Benchmark-Richtlinieneinschränkungen v1.5.1 verwenden anstelle dieser Seite.

Nächste Schritte