Halaman ini menjelaskan apa yang dimaksud dengan Pengontrol Kebijakan dan cara menggunakannya untuk membantu memastikan cluster dan workload Kubernetes Anda berjalan dengan aman dan sesuai.
Halaman ini ditujukan untuk administrator IT, Operator, dan spesialis Keamanan yang menentukan solusi IT dan arsitektur sistem sesuai dengan strategi perusahaan, serta memastikan bahwa semua resource yang berjalan dalam platform cloud memenuhi persyaratan kepatuhan organisasi dengan menyediakan dan mempertahankan otomatisasi untuk mengaudit atau menerapkan. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam Google Cloud konten, lihat Peran dan tugas pengguna GKE umum.
Pengontrol Kebijakan memungkinkan penerapan dan penegakan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda. Kebijakan ini bertindak sebagai penjaga dan dapat membantu dengan praktik terbaik, keamanan, dan manajemen kepatuhan cluster serta fleet Anda. Berdasarkan project Open Policy Agent Gatekeeper open source , Pengontrol Kebijakan terintegrasi sepenuhnya dengan Google Cloud, menyertakan dasbor bawaan, untuk observabilitas, dan dilengkapi dengan library lengkap berisi kebijakan bawaan untuk kontrol kepatuhan dan keamanan umum.
Manfaat Pengontrol Kebijakan
- Terintegrasi dengan Google Cloud: Admin platform dapat menginstal Pengontrol Kebijakan menggunakan konsol Google Cloud , menggunakan Terraform, atau menggunakan Google Cloud CLI di cluster mana pun yang terhubung ke fleet Anda. Pengontrol Kebijakan berfungsi dengan layanan lain seperti Google Cloud Config Sync, metrik, dan Cloud Monitoring.
- Mendukung beberapa titik penerapan: Selain kontrol audit dan penerimaan untuk cluster Anda, Pengontrol Kebijakan secara opsional dapat mengaktifkan pendekatan shift-left untuk menganalisis dan menemukan perubahan yang tidak mematuhi kebijakan sebelum penerapan.
- Paket kebijakan bawaan: Pengontrol Kebijakan dilengkapi dengan library lengkap berisi kebijakan bawaan untuk kontrol kepatuhan dan keamanan umum. Kebijakan ini mencakup Paket kebijakan dan library template batasan.
- Mendukung kebijakan kustom: Jika penyesuaian kebijakan diperlukan di luar yang tersedia menggunakan library template batasan, Pengontrol Kebijakan juga mendukung pengembangan template batasan kustom.
- Observabilitas bawaan: Pengontrol Kebijakan menyertakan Google Cloud konsol dasbor, yang memberikan ringkasan status semua kebijakan yang diterapkan ke fleet Anda (termasuk cluster yang tidak terdaftar). Dari dasbor, lihat status kepatuhan dan penerapan untuk membantu Anda memecahkan masalah, dan dapatkan rekomendasi yang kuat untuk mengatasi pelanggaran kebijakan.
Paket kebijakan
Anda dapat menggunakan paket kebijakan untuk menerapkan sejumlah batasan yang dikelompokkan berdasarkan tema kepatuhan, keamanan, atau standar Kubernetes tertentu. Misalnya, Anda dapat menggunakan paket kebijakan berikut:
- Menerapkan banyak persyaratan yang sama dengan PodSecurityPolicies, tetapi dengan kemampuan tambahan untuk mengaudit konfigurasi Anda sebelum menerapkannya, sehingga memastikan perubahan kebijakan tidak mengganggu workload yang sedang berjalan.
- Menggunakan batasan yang kompatibel dengan Cloud Service Mesh untuk mengaudit kepatuhan kerentanan keamanan mesh dan praktik terbaik Anda.
- Menerapkan praktik terbaik umum ke resource cluster Anda untuk membantu memperkuat postur keamanan Anda.
Ringkasan paket Pengontrol Kebijakan memberikan detail selengkapnya dan daftar paket kebijakan yang saat ini tersedia.
Batasan
Pengontrol Kebijakan menerapkan kepatuhan cluster Anda menggunakan objek yang disebut batasan. Anda dapat menganggap batasan sebagai "elemen penyusun" kebijakan. Setiap batasan menentukan perubahan tertentu pada Kubernetes API yang diizinkan atau tidak diizinkan pada cluster yang diterapkan. Anda dapat menetapkan kebijakan untuk memblokir permintaan API yang tidak mematuhi kebijakan secara aktif atau mengaudit konfigurasi cluster Anda dan melaporkan pelanggaran. Dalam kedua kasus tersebut, Anda dapat melihat pesan peringatan dengan detail tentang pelanggaran yang terjadi di cluster. Dengan informasi tersebut, Anda dapat mengatasi masalah. Misalnya, Anda dapat menggunakan batasan individual berikut:
- Mengharuskan setiap namespace memiliki setidaknya satu label. Batasan ini dapat digunakan untuk memastikan pelacakan konsumsi resource yang akurat saat menggunakan Pengukuran Penggunaan GKE, misalnya.
- Membatasi repositori tempat image container tertentu dapat diambil. Batasan ini memastikan bahwa setiap upaya untuk mengambil container dari sumber yang tidak dikenal akan ditolak, sehingga melindungi cluster Anda dari menjalankan software yang berpotensi berbahaya.
- Mengontrol apakah container dapat berjalan dalam mode hak istimewa atau tidak. Batasan ini mengontrol kemampuan container untuk mengaktifkan mode hak istimewa, yang memberi Anda kontrol atas container mana (jika ada) yang dapat berjalan dengan kebijakan tanpa batasan.
Ini hanyalah beberapa batasan yang disediakan dalam template batasan library yang disertakan dengan Pengontrol Kebijakan. Library ini berisi banyak kebijakan yang dapat Anda gunakan untuk membantu menerapkan praktik terbaik dan membatasi risiko. Jika memerlukan lebih banyak penyesuaian di luar yang tersedia di library template batasan, Anda juga dapat membuat custom constraint templates.
Batasan dapat diterapkan langsung ke cluster Anda menggunakan Kubernetes API, atau didistribusikan ke sekumpulan cluster dari sumber terpusat, seperti repositori Git, menggunakan Config Sync.