Aplica varios paquetes de Policy Controller

En esta página, se explica cómo habilitar los paquetes de Policy Controller.

Para obtener información más detallada sobre cómo aplicar y usar paquetes de políticas, lee las instrucciones del paquete que deseas aplicar en el menú de navegación de la izquierda. Para obtener más información sobre los paquetes de políticas, consulta la descripción general de los paquetes de Policy Controller.

Si instalaste Policy Controller con la Google Cloud consola, el paquete de elementos esenciales de la política se instala de forma predeterminada, pero puedes habilitar más paquetes.

Antes de comenzar

Aplica paquetes de políticas

Console

Para aplicar uno o más paquetes de políticas en un clúster con la consola de Google Cloud , completa los siguientes pasos:

  1. En la consola de Google Cloud , ve a la página Política en la sección Administración de postura.

    Ir a Política

  2. En la pestaña Configuración, en la tabla del clúster, selecciona Editar en la columna Editar configuración.

  3. En el menú Agregar o editar paquetes de políticas, asegúrate de que la biblioteca de plantillas esté activada.

  4. Para habilitar todos los paquetes de políticas, activa Agregar todos los paquetes de políticas en .

  5. Para habilitar paquetes de políticas individuales, activa cada paquete de políticas que quieras habilitar.

  6. Opcional: Para eximir un espacio de nombres de la aplicación, expande el menú Mostrar configuración avanzada. En el campo Eximir espacios de nombres, proporciona una lista de espacios de nombres válidos.

    Práctica recomendada:

    Exime los espacios de nombres del sistema para evitar errores en tu entorno. En la página Excluir espacios de nombres, puedes encontrar las instrucciones para eximir espacios de nombres y una lista de los espacios de nombres comunes creados por los servicios de Google Cloud .

  7. Selecciona Guardar cambios.

Puedes ver información adicional sobre la cobertura de las políticas y los incumplimientos con el panel de Policy Controller.

gcloud

Para aplicar un paquete de políticas, completa los siguientes pasos:

  1. Si alguno de los paquetes que aplicas usa restricciones referenciales, debes habilitar la compatibilidad con restricciones referenciales:

    gcloud container fleet policycontroller update --referential-rules

    Puedes verificar si un paquete requiere compatibilidad con restricciones referenciales en la descripción general de los paquetes de políticas.

  2. Para cada paquete que quieras instalar, ejecuta el siguiente comando:

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME

    Reemplaza BUNDLE_NAME por el nombre del paquete que deseas instalar. El nombre es el prefijo del paquete, por ejemplo, cis-k8s-v1.5.1. Puedes encontrar una lista de nombres en la Descripción general de los paquetes de políticas.

  3. Opcional: Para eximir un espacio de nombres de la aplicación, ejecuta el siguiente comando:

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
  --exempted-namespaces=NAMESPACES

    Reemplaza NAMESPACES por una lista separada por comas de los espacios de nombres que no deseas que se apliquen, por ejemplo, kube-system,gatekeeper-system.

    Para obtener más información sobre cómo agregar espacios de nombres que se pueden eximir, consulta Excluye espacios de nombres de Policy Controller.

  4. Para quitar un paquete, ejecuta el siguiente comando:

    gcloud container fleet policycontroller content bundles remove BUNDLE_NAME

Soluciona problemas

No puedes modificar los paquetes de políticas que se instalan directamente con las instrucciones de esta página. Si tienes problemas con un paquete de políticas y necesitas realizar ediciones, instala el paquete con uno de los métodos que se indican en la página del paquete de políticas individual. Estos métodos extraen el paquete de políticas de un repositorio de Git, lo que te permite realizar cambios. Por ejemplo, si deseas editar la comparativa de CIS para Kubernetes 1.5, sigue las instrucciones en Usa las restricciones de la política de CIS para la comparativa de Kubernetes v1.5.1 en lugar de esta página.

¿Qué sigue?