En esta página, se describe cómo configurar espacios de nombres exentos en Policy Controller.
Los espacios de nombres exentos quitan un espacio de nombres de la aplicación del webhook de admisión con Policy Controller, pero cualquier incumplimiento se informa en la auditoría. Si no configuras ningún espacio de nombres, solo el espacio de nombres gatekeeper-system estará preconfigurado como exento de la aplicación del webhook de admisión de Policy Controller.
Configura espacios de nombres exentos
Configurar un espacio de nombres que se pueda eximir aplica la etiqueta admission.gatekeeper.sh/ignore, que exime al espacio de nombres de la aplicación del webhook de admisión de Policy Controller. Si luego quitas un espacio de nombres exento, Policy Controller no quitará la etiqueta admission.gatekeeper.sh/ignore del espacio de nombres.
Exime espacios de nombres de la aplicación
Puedes eximir espacios de nombres durante la instalación del controlador de políticas o después de la instalación. En el siguiente proceso, se muestra cómo eximir espacios de nombres después de la instalación.
Console
- En la consola de Google Cloud , ve a la página Política en la sección Administración de postura.
- En la pestaña Configuración, en la tabla del clúster, selecciona Editar edit en la columna Editar configuración.
- Expande el menú Editar configuración de Policy Controller.
- En el campo Eximir espacios de nombres, proporciona una lista de espacios de nombres válidos. Todas las políticas ignoran los objetos de estos espacios de nombres. No es necesario que los espacios de nombres existan.
- Selecciona Guardar cambios.
gcloud
Para agregar espacios de nombres a la lista de espacios de nombres que pueden estar exentos de la aplicación por parte del webhook de admisión, ejecuta el siguiente comando:
gcloud container fleet policycontroller update \
--memberships=MEMBERSHIP_NAME \
--exemptable-namespaces=NAMESPACE_LIST
Reemplaza lo siguiente:
MEMBERSHIP_NAME: Es el nombre de la membresía del clúster registrado en el que se deben eximir los espacios de nombres. Puedes especificar varias membresías separadas por comas.NAMESPACE_LIST: Es una lista separada por comas de los espacios de nombres que deseas que Policy Controller exima de la aplicación forzosa.
Este comando exime los recursos solo del webhook de admisión. Los recursos aún se auditan. Para eximir espacios de nombres de la auditoría, establece la exención a nivel del paquete de políticas:
gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
--memberships=MEMBERSHIP_NAME \
--exempted-namespaces=NAMESPACE_LIST
Reemplaza lo siguiente:
BUNDLE_NAMEpor el nombre del paquete de políticas que deseas actualizar con los espacios de nombres exentos.MEMBERSHIP_NAME: Es el nombre de la membresía del clúster registrado en el que se deben eximir los espacios de nombres. Puedes especificar varias membresías separadas por comas.NAMESPACE_LIST: Es una lista separada por comas de los espacios de nombres que deseas que Policy Controller exima de la aplicación forzosa.
Espacios de nombres que se eximirán de la aplicación
En la siguiente lista, se muestran los espacios de nombres comunes del sistema que tal vez quieras eximir de la aplicación para evitar comportamientos no deseados, como el bloqueo de actualizaciones. La siguiente lista no es exhaustiva:
- anthos-creds
- anthos-identity-service
- apigee
- apigee-system
- asm-system
- capi-kubeadm-bootstrap-system
- capi-system
- cert-manager
- cnrm-system
- config-management-monitoring
- config-management-system
- gke-connect
- gke-gmp-system
- gke-managed-cim
- gke-managed-filestorecsi
- gke-managed-metrics-server
- gke-managed-system
- gke-system
- gmp-public
- gmp-system
- hnc-system
- istio-system
- kube-node-lease
- kube-public
- kube-system
- poco-trial
- resource-group-system
- vm-system
- krmapihosting-system
- krmapihosting-monitoring