Aplicar varios paquetes de Policy Controller

En esta página se explica cómo habilitar los paquetes de Policy Controller.

Para obtener información más detallada sobre cómo aplicar y usar paquetes de políticas, consulta las instrucciones del paquete que quieras aplicar en el menú de navegación de la izquierda. Para obtener más información sobre los paquetes de políticas, consulta el artículo Paquetes de Policy Controller.

Si has instalado Policy Controller mediante la consola Google Cloud , el paquete de elementos esenciales de la política se instala de forma predeterminada, pero puedes habilitar más paquetes.

Antes de empezar

Aplicar paquetes de políticas

Consola

Para aplicar uno o varios paquetes de políticas en un clúster mediante la Google Cloud consola, sigue estos pasos:

  1. En la consola, vaya a la página Política de la sección Gestión de postura. Google Cloud

    Ir a la política

  2. En la pestaña Configuración, en la tabla de clústeres, seleccione Editar en la columna Editar configuración.

  3. En el menú Añadir o editar paquetes de políticas, comprueba que la biblioteca de plantillas esté activada.

  4. Para habilitar todos los paquetes de políticas, activa Añadir todos los paquetes de políticas .

  5. Para habilitar paquetes de políticas concretos, activa cada paquete que quieras habilitar.

  6. Opcional: Para eximir un espacio de nombres de la aplicación, despliega el menú Mostrar configuración avanzada. En el campo Espacios de nombres exentos, proporciona una lista de espacios de nombres válidos.

    Práctica recomendada:

    Exime los espacios de nombres del sistema para evitar errores en tu entorno. Puedes consultar las instrucciones para excluir espacios de nombres y una lista de los espacios de nombres comunes creados por los servicios de Google Cloud en la página Excluir espacios de nombres.

  7. Selecciona Guardar cambios.

Puede consultar más información sobre la cobertura de sus políticas y las infracciones en el panel de control de Policy Controller.

gcloud

Para aplicar un paquete de políticas, sigue estos pasos:

  1. Si alguno de los paquetes que vas a aplicar usa restricciones referenciales, debes habilitar la compatibilidad con las restricciones referenciales:

    gcloud container fleet policycontroller update --referential-rules

    Puede consultar si un paquete requiere compatibilidad con las restricciones referenciales en el artículo Descripción general de los paquetes de políticas.

  2. Ejecuta el siguiente comando para cada paquete que quieras instalar:

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME

    Sustituye BUNDLE_NAME por el nombre del paquete que quieras instalar. El nombre es el prefijo del paquete, por ejemplo, cis-k8s-v1.5.1. Puedes consultar una lista de nombres en el artículo Descripción general de los paquetes de políticas.

  3. Opcional: Para eximir un espacio de nombres de la aplicación, ejecuta el siguiente comando:

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
  --exempted-namespaces=NAMESPACES

    Sustituye NAMESPACES por una lista separada por comas de espacios de nombres en los que no quieras aplicar la comprobación, por ejemplo, kube-system,gatekeeper-system.

    Para obtener más información sobre cómo añadir espacios de nombres que se pueden excluir, consulta el artículo Excluir espacios de nombres de Policy Controller.

  4. Para quitar un paquete, ejecuta el siguiente comando:

    gcloud container fleet policycontroller content bundles remove BUNDLE_NAME

Solución de problemas

No puedes modificar los paquetes de políticas que se instalan directamente siguiendo las instrucciones de esta página. Si tienes problemas con un paquete de políticas y necesitas hacer cambios, instala el paquete con uno de los métodos que se indican en la página del paquete de políticas en cuestión. Estos métodos extraen el paquete de políticas de un repositorio de Git, lo que te permite hacer cambios. Por ejemplo, si quieres editar la versión 1.5 de CIS Kubernetes Benchmark, sigue las instrucciones de Usar restricciones de la política de CIS Kubernetes Benchmark v1.5.1 en lugar de las de esta página.

Siguientes pasos