Esta página foi traduzida pela API Cloud Translation.

Aplicar vários pacotes do Controlador de Políticas

Nesta página, explicamos como ativar os pacotes do Policy Controller.

Para informações mais detalhadas sobre como aplicar e usar pacotes de políticas, leia as instruções do pacote que você quer aplicar usando o menu de navegação à esquerda. Para mais informações sobre pacotes de políticas, consulte a visão geral dos pacotes do Controlador de Políticas.

Se você instalou o Policy Controller usando o console Google Cloud , o pacote de políticas essenciais será instalado por padrão, mas é possível ativar mais pacotes.

Antes de começar

Instale o Controlador de Políticas.

Aplicar pacotes de políticas

Console

Para aplicar um ou mais pacotes de políticas a um cluster usando o console Google Cloud , conclua as seguintes etapas:

No console do Google Cloud , acesse a página Política na seção Gerenciamento de postura.

Acessar a política
Na guia Configurações, na tabela de clusters, selecione Editar na coluna Editar configuração.
No menu Adicionar/editar pacotes de políticas, confira se a biblioteca de modelos está ativada.
Para ativar todos os pacotes de políticas, alterne a opção Adicionar todos os pacotes de políticas em .
Para ativar pacotes de políticas individuais, alterne para cada um deles que você quer ativar.
Opcional: para isentar um namespace da aplicação obrigatória, expanda o menu Exibir configurações avançadas. No campo Namespaces isentos, forneça uma lista de namespaces válidos.

Prática recomendada:
Isente namespaces do sistema para evitar erros no seu ambiente. Na página "Excluir namespaces", você encontra as instruções para isentar namespaces e uma lista de namespaces comuns criados pelos serviços do Google Cloud .
Selecione Salvar alterações.

Veja mais informações sobre a cobertura da política e as violações usando o painel do Controlador de Políticas.

gcloud

Para aplicar um pacote de políticas, siga estas etapas:

Se algum dos pacotes que você está aplicando usar restrições referenciais, ative o suporte para restrições referenciais:
```
gcloud container fleet policycontroller update --referential-rules
```
Você pode verificar se um pacote requer suporte com restrições referenciais na Visão geral dos pacotes de políticas.
Para cada pacote que você quer instalar, execute o seguinte comando:
```
gcloud container fleet policycontroller content bundles set BUNDLE_NAME
```
Substitua BUNDLE_NAME pelo nome do pacote que você quer instalar. O nome é o prefixo do pacote, por exemplo, cis-k8s-v1.5.1. Confira uma lista de nomes na Visão geral dos pacotes de políticas.
Opcional: para isentar um namespace da aplicação, execute o seguinte comando:
```
gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
  --exempted-namespaces=NAMESPACES
```
Substitua NAMESPACES por uma lista separada por vírgulas de namespaces que você não quer aplicar, por exemplo, kube-system,gatekeeper-system.

Para mais informações sobre como adicionar namespaces isentos, consulte Excluir namespaces do Controlador de Políticas.

Para remover um pacote, execute o seguinte comando:

gcloud container fleet policycontroller content bundles remove BUNDLE_NAME

Solução de problemas

Não é possível modificar pacotes de políticas instalados diretamente usando as instruções nesta página. Se você estiver com problemas com um pacote de políticas e precisar fazer edições, instale o pacote usando um dos métodos na página do pacote de políticas individual. Esses métodos extraem o pacote de políticas de um repositório Git, o que permite fazer mudanças. Por exemplo, se você quiser editar o CIS Benchmark do Kubernetes 1.5, siga as instruções em Usar restrições de política do CIS Benchmark do Kubernetes v1.5.1 em vez desta página.

A seguir

Saiba mais sobre como aplicar restrições individuais.
Acesse um tutorial sobre como usar pacotes de políticas no pipeline de CI/CD para mudar para a esquerda.