Esta página explica como ativar pacotes do Policy Controller.
Para obter informações mais detalhadas sobre a aplicação e a utilização de pacotes de políticas, leia as instruções do pacote que quer aplicar através do menu de navegação do lado esquerdo. Para mais informações sobre pacotes de políticas, consulte a vista geral dos pacotes do Policy Controller.
Se instalou o Policy Controller através da Google Cloud consola, o pacote de elementos essenciais de políticas é instalado por predefinição, mas pode ativar mais pacotes.
Antes de começar
Aplique conjuntos de políticas
Consola
Para aplicar um ou mais conjuntos de políticas num cluster através da Google Cloud consola, conclua os seguintes passos:
- Na Google Cloud consola, aceda à página Política na secção Gestão de postura.
No separador Definições, na tabela de clusters, selecione Editar edit na coluna Editar configuração.
No menu Adicionar/editar conjuntos de políticas, certifique-se de que a biblioteca de modelos está ativada.
Para ativar todos os conjuntos de políticas, ative a opção Adicionar todos os conjuntos de políticas check_circle.
Para ativar pacotes de políticas individuais, ative cada pacote de políticas que quer ativar.
Opcional: para isentar um espaço de nomes da aplicação, expanda o menu Mostrar definições avançadas. No campo Espaços de nomes isentos, indique uma lista de espaços de nomes válidos.
Prática recomendada: Exente namespaces do sistema para evitar erros no seu ambiente. Pode encontrar as instruções para isentar espaços de nomes e uma lista de espaços de nomes comuns criados por Google Cloud serviços na página Excluir espaços de nomes.
Selecione Guardar alterações.
Pode ver informações adicionais sobre a cobertura e as violações de políticas através do painel de controlo do Policy Controller.
gcloud
Para aplicar um pacote de políticas, conclua os seguintes passos:
Se algum dos pacotes que está a aplicar usar restrições referenciais, tem de ativar o suporte para restrições referenciais:
gcloud container fleet policycontroller update --referential-rulesPode verificar se um pacote requer suporte para restrições referenciais na vista geral dos pacotes de políticas.
Para cada pacote que quer instalar, execute o seguinte comando:
gcloud container fleet policycontroller content bundles set BUNDLE_NAMESubstitua
BUNDLE_NAMEpelo nome do pacote que quer instalar. O nome é o prefixo do pacote, por exemplo,cis-k8s-v1.5.1. Pode encontrar uma lista de nomes na Vista geral dos conjuntos de políticas.Opcional: para isentar um espaço de nomes da aplicação, execute o seguinte comando:
gcloud container fleet policycontroller content bundles set BUNDLE_NAME \ --exempted-namespaces=NAMESPACESSubstitua
NAMESPACESpor uma lista separada por vírgulas de namespaces que não quer aplicar, por exemplo,kube-system,gatekeeper-system.Para mais informações sobre como adicionar espaços de nomes isentos, consulte o artigo Exclua espaços de nomes do Policy Controller.
Para remover um pacote, execute o seguinte comando:
gcloud container fleet policycontroller content bundles remove BUNDLE_NAME
Resolução de problemas
Não pode modificar pacotes de políticas instalados diretamente através das instruções nesta página. Se tiver problemas com um conjunto de políticas e precisar de fazer edições, instale o conjunto através de um dos métodos na página do conjunto de políticas individual. Estes métodos extraem o pacote de políticas de um repositório Git, o que lhe permite fazer alterações. Por exemplo, se quiser editar a CIS Kubernetes Benchmark 1.5, siga as instruções em Use CIS Kubernetes Benchmark v1.5.1 policy constraints em vez desta página.
O que se segue?
- Saiba como aplicar restrições individuais.
- Faça um tutorial sobre como usar pacotes de políticas no seu pipeline de CI/CD para mudar para a esquerda.