Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Creare e gestire vincoli personalizzati

Questa pagina mostra come abilitare e utilizzare i vincoli personalizzati nell'ambiente dei cluster collegati GKE. Google CloudIl servizio Policy dell'organizzazione di ti aiuta a gestire le configurazioni delle risorse e a creare barriere protettive nel tuo ambiente cloud.

Panoramica

Con le policy dell'organizzazione personalizzate, puoi creare policy granulari per le risorse negli ambienti GKE Multi-Cloud per soddisfare i requisiti specifici di sicurezza e conformità della tua organizzazione. Puoi anche creare policy dell'organizzazione in modalità dry run per testare nuove policy senza influire sui carichi di lavoro di produzione.

Per saperne di più sulle policy dell'organizzazione, consulta Introduzione al servizio Policy dell'organizzazione.

Prima di iniziare

Prima di iniziare, assicurati di comprendere i seguenti argomenti:

Ereditarietà delle policy

Per impostazione predefinita, le policy dell'organizzazione vengono ereditate dai discendenti delle risorse su cui applichi la policy. Ad esempio, se applichi una policy a un'organizzazione, Google Cloud la policy viene applicata a tutti i progetti dell'organizzazione. Per saperne di più sull'ereditarietà delle policy e su come modificare le regole di valutazione, consulta Regole di valutazione della gerarchia.

Limitazioni

Prima di creare vincoli personalizzati, tieni presente le seguenti limitazioni:

I vincoli personalizzati possono essere applicati solo ai metodi CREATE o UPDATE per le risorse dei cluster collegati GKE.
I vincoli personalizzati appena applicati non vengono applicati automaticamente alle risorse esistenti. Devi aggiornare le risorse esistenti per applicare il vincolo. Per trovare le risorse esistenti che devono essere aggiornate, puoi applicare una policy dell'organizzazione in modalità dry run.
Per creare vincoli e applicare policy dell'organizzazione, devi disporre del ruolo IAM Amministratore policy dell'organizzazione (roles/orgpolicy.policyAdmin) nella tua Google Cloud organizzazione. Per saperne di più sulle autorizzazioni richieste per gestire le policy dell'organizzazione con vincoli personalizzati, consulta Ruoli richiesti.

Prezzi

Le policy dell'organizzazione e i vincoli personalizzati vengono offerti senza costi aggiuntivi.

Crea vincoli personalizzati

I vincoli personalizzati devono essere specificati utilizzando i campi nella specifica della risorsa API AttachedCluster, esclusi i campi descritti come "Solo output".

Crea un vincolo personalizzato

Per creare un nuovo vincolo personalizzato, definisci il vincolo in un file YAML e lo applichi nella tua organizzazione utilizzando Google Cloud CLI. Questo vincolo deve incapsulare la policy specifica che vuoi applicare alle risorse dei cluster collegati GKE.

Crea un file YAML per il vincolo personalizzato:
```
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- gkemulticloud.googleapis.com/AttachedCluster
methodTypes: 
- CREATE
condition: \"CONDITION\"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
```
Sostituisci quanto segue:
- ORGANIZATION_ID : l'ID della tua organizzazione, ad esempio 123456789.
- CONSTRAINT_NAME : il nome del nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri. Ad esempio, custom.allowClusterCreateIfAnnotationPresent. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempio organizations/123456789/customConstraints/custom.
- CONDITION : una condizione scritta in base a una rappresentazione di una risorsa del cluster collegato. Le condizioni sono scritte in Common Expression Language (CEL). Questo campo ha una lunghezza massima di 1000 caratteri. Ad esempio, la condizione: "key" in resource.annotations && resource.annotations.key == "created-by".
- ACTION : l'azione da intraprendere se la condizione è soddisfatta. Può essere ALLOW o DENY.
- DISPLAY_NAME : un nome visualizzato per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri.
- DESCRIPTION : una descrizione del vincolo da visualizzare come messaggio di errore quando la policy viene violata, ad esempio "Allow new clusters only when certain annotations are set." Questo campo ha una lunghezza massima di 2000 caratteri.
Per saperne di più su come creare un vincolo personalizzato, consulta Definizione di vincoli personalizzati.

Associa il vincolo alle tue risorse

Dopo aver creato il file YAML per un nuovo vincolo personalizzato, devi configurarlo in modo che sia disponibile per le policy dell'organizzazione.

Per configurare un vincolo personalizzato, utilizza il comando gcloud org-policies set-custom-constraint:
```
gcloud org-policies set-custom-constraint PATH_TO_FILE
```
Sostituisci PATH_TO_FILE con il percorso della definizione YAML del vincolo personalizzato.

Per verificare che il vincolo personalizzato sia stato creato, utilizza il comando gcloud org-policies list-custom-constraints:

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

L'output elenca le policy create:

CUSTOM_CONSTRAINT: custom.allowClusterCreateIfAnnotationPresent
ACTION_TYPE: ALLOW
METHOD_TYPES: CREATE
RESOURCE_TYPES: gkemulticloud.googleapis.com/AttachedCluster
DISPLAY_NAME: Allow new clusters only when certain annotations are set.

Applica il vincolo personalizzato

Per applicare il nuovo vincolo personalizzato, crea una policy dell'organizzazione che faccia riferimento al vincolo, quindi applica la policy dell'organizzazione.

Crea un file YAML per la policy dell'organizzazione:
```
name: RESOURCE_HIERARCHY/policies/POLICY_NAME
spec:
  rules:
  - enforce: true
```
Sostituisci quanto segue:
- RESOURCE_HIERARCHY: la posizione della nuova policy, che influisce sull'ambito di applicazione. Utilizza la Google Cloud gerarchia delle risorse come guida. Ad esempio, se vuoi applicare la policy in un progetto specifico, utilizza projects/PROJECT_ID. Per applicare la policy in un'organizzazione specifica, utilizza organizations/ORGANIZATION_ID.
- POLICY_NAME: il nome della nuova policy.
Applica la policy:
```
gcloud org-policies set-policy PATH_TO_POLICY
```
Sostituisci PATH_TO_POLICY con il percorso del file di definizione della policy.
Verifica che la policy esista:
```
gcloud org-policies list --RESOURCE_FLAG=RESOURCE_ID
```
Sostituisci quanto segue:
- RESOURCE_FLAG: la Google Cloud risorsa in cui hai applicato la policy. Ad esempio, un progetto o un'organizzazione.
- RESOURCE_ID: l'ID della risorsa in cui hai applicato la policy. Ad esempio, l'ID progetto o l'ID dell'organizzazione.
L'output è simile al seguente:
```
CONSTRAINT: custom.allowClusterCreateIfAnnotationPresent
LIST_POLICY: -
BOOLEAN_POLICY: SET
ETAG: CPjb27wGEOijhL4B-
```

Testa la policy

Testa la policy dell'organizzazione registrando un cluster EKS in un progetto con limitazioni.

Registra un cluster EKS in un progetto con limitazioni.

gcloud container attached clusters register CLUSTER_NAME \
  --location=GOOGLE_CLOUD_REGION \
  --fleet-project=PROJECT_NUMBER \
  --platform-version=PLATFORM_VERSION \
  --distribution=eks \
  --issuer-url=ISSUER_URL \
  --context=KUBECONFIG_CONTEXT \
  --kubeconfig=KUBECONFIG_PATH

L'output è simile al seguente:

ERROR: (gcloud.container.attached.clusters.register) FAILED_PRECONDITION: Operation denied by org policy on resource 'projects/PROJECT_NUMBER/locations/GOOGLE_CLOUD_REGION': ["customConstraints/custom.allowClusterCreateIfAnnotationPresent": "Allow new clusters only when certain annotations are set."]

'@type': type.googleapis.com/google.rpc.ErrorInfo
domain: googleapis.com
metadata:
  customConstraints: customConstraints/custom.allowClusterCreateIfAnnotationPresent
service: gkemulticloud.googleapis.com
reason: CUSTOM_ORG_POLICY_VIOLATION