Menerapkan beberapa paket Pengontrol Kebijakan

Halaman ini menjelaskan cara mengaktifkan paket Pengontrol Kebijakan.

Untuk mengetahui informasi yang lebih mendetail tentang cara menerapkan dan menggunakan paket kebijakan, baca petunjuk untuk paket yang ingin Anda terapkan menggunakan menu navigasi di sebelah kiri. Untuk mengetahui informasi selengkapnya tentang paket kebijakan, lihat ringkasan Paket Pengontrol Kebijakan.

Jika Anda menginstal Pengontrol Kebijakan menggunakan konsol Google Cloud , paket policy essentials diinstal secara default, tetapi Anda dapat mengaktifkan lebih banyak paket.

Sebelum memulai

Menerapkan paket kebijakan

Konsol

Untuk menerapkan satu atau beberapa paket kebijakan pada cluster menggunakan konsol Google Cloud , lakukan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman Policy di bagian Posture Management.

    Buka Policy

  2. Di tab Settings, pada tabel cluster, pilih Edit di kolom Edit configuration.

  3. Di menu Add/Edit policy bundles, pastikan template library diaktifkan.

  4. Untuk mengaktifkan semua paket kebijakan, aktifkan Add all policy bundles di .

  5. Untuk mengaktifkan setiap paket kebijakan, aktifkan setiap paket kebijakan yang Anda mau.

  6. Opsional: Untuk mengecualikan namespace dari penegakan kebijakan, luaskan menu Show advanced settings. Di kolom Exempt namespaces, berikan daftar namespace yang valid.

    Praktik terbaik:

    Kecualikan namespace sistem untuk menghindari error di lingkungan Anda. Anda dapat menemukan petunjuk untuk mengecualikan namespace dan daftar namespace umum yang dibuat oleh layanan Google Cloud di halaman Exclude namespaces.

  7. Pilih Save changes.

Anda dapat melihat informasi tambahan tentang cakupan dan pelanggaran kebijakan menggunakan dasbor Pengontrol Kebijakan.

gcloud

Untuk menerapkan paket kebijakan, selesaikan langkah-langkah berikut:

  1. Jika ada bundle yang Anda terapkan menggunakan batasan referensial, Anda harus mengaktifkan dukungan untuk batasan referensial:

    gcloud container fleet policycontroller update --referential-rules

    Anda dapat memeriksa apakah suatu paket memerlukan dukungan untuk batasan referensial di Ringkasan paket kebijakan.

  2. Untuk setiap paket yang ingin Anda instal, jalankan perintah berikut:

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME

    Ganti BUNDLE_NAME dengan nama paket yang ingin Anda instal. Nama adalah awalan paket, misalnya cis-k8s-v1.5.1. Anda dapat menemukan daftar nama di Ringkasan paket kebijakan.

  3. Opsional: Untuk mengecualikan namespace dari penerapan, jalankan perintah berikut:

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
  --exempted-namespaces=NAMESPACES

    Ganti NAMESPACES dengan daftar yang dipisahkan koma, berisi namespace yang tidak ingin Anda terapkan, misalnya kube-system,gatekeeper-system.

    Untuk mengetahui informasi selengkapnya tentang cara menambahkan namespace yang dapat dikecualikan, lihat Mengecualikan namespace dari Pengontrol Kebijakan.

  4. Untuk menghapus paket, jalankan perintah berikut:

    gcloud container fleet policycontroller content bundles remove BUNDLE_NAME

Pemecahan masalah

Anda tidak dapat mengubah paket kebijakan yang diinstal secara langsung menggunakan petunjuk di halaman ini. Jika Anda mengalami masalah dengan paket kebijakan dan perlu melakukan pengeditan, instal paket menggunakan salah satu metode di halaman paket kebijakan individual. Metode ini menarik paket kebijakan dari repositori Git, yang memungkinkan Anda melakukan perubahan. Misalnya, jika Anda ingin mengedit CIS Kubernetes Benchmark 1.5, ikuti petunjuk di Menggunakan batasan kebijakan CIS Kubernetes Benchmark v1.5.1 alih-alih halaman ini.

Langkah berikutnya