Questa pagina descrive come configurare gli spazi dei nomi esenti in Policy Controller.
Gli spazi dei nomi esenti rimuovono uno spazio dei nomi dall'applicazione del webhook di ammissione con
Policy Controller, ma eventuali violazioni vengono comunque segnalate in
audit. Se non configuri spazi dei nomi, solo lo spazio dei nomi gatekeeper-system è preconfigurato come esente dall'applicazione del webhook di ammissione di Policy Controller.
Configura spazi dei nomi esenti
La configurazione di uno spazio dei nomi esentabile applica l'etichetta admission.gatekeeper.sh/ignore, che esenta lo spazio dei nomi dall'applicazione del webhook di ammissione di Policy Controller. Se in un secondo momento rimuovi uno spazio dei nomi esentabile, Policy Controller non rimuove l'etichetta admission.gatekeeper.sh/ignore dallo spazio dei nomi.
Esenta gli spazi dei nomi dall'applicazione
Puoi esentare gli spazi dei nomi durante l'installazione di Policy Controller, o dopo l'installazione. La seguente procedura mostra come esentare gli spazi dei nomi dopo l'installazione.
Console
- Nella Google Cloud console, vai alla pagina Policy nella sezione Gestione della postura.
- Nella scheda Impostazioni, nella tabella dei cluster, seleziona Modifica edit nella colonna Modifica configurazione.
- Espandi il menu Modifica configurazione di Policy Controller.
- Nel campo Spazi dei nomi esenti, fornisci un elenco di spazi dei nomi validi. Gli oggetti in questi spazi dei nomi vengono ignorati da tutte le policy. Non è necessario che gli spazi dei nomi esistano già.
- Seleziona Salva modifiche.
gcloud
Per aggiungere spazi dei nomi all'elenco di spazi dei nomi che possono essere esentati dall'applicazione del webhook di ammissione, esegui il comando seguente:
gcloud container fleet policycontroller update \
--memberships=MEMBERSHIP_NAME \
--exemptable-namespaces=NAMESPACE_LIST
Sostituisci quanto segue:
MEMBERSHIP_NAME: il nome dell'appartenenza del cluster registrato su cui esentare gli spazi dei nomi. Puoi specificare più appartenenze separate da una virgola.NAMESPACE_LIST: un elenco separato da virgole di spazi dei nomi che vuoi che Policy Controller esenti dall'applicazione.
Questo comando esenta le risorse solo dal webhook di ammissione. Le risorse vengono comunque sottoposte ad audit. Per esentare invece gli spazi dei nomi dall'audit, imposta l'esenzione a livello di pacchetto di policy:
gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
--memberships=MEMBERSHIP_NAME \
--exempted-namespaces=NAMESPACE_LIST
Sostituisci quanto segue:
BUNDLE_NAMEcon il nome del pacchetto di policy che vuoi aggiornare con gli spazi dei nomi esenti.MEMBERSHIP_NAME: il nome dell'appartenenza del cluster registrato su cui esentare gli spazi dei nomi. Puoi specificare più appartenenze separate da una virgola.NAMESPACE_LIST: un elenco separato da virgole di spazi dei nomi che vuoi che Policy Controller esenti dall'applicazione.
Spazi dei nomi da esentare dall'applicazione
Il seguente elenco mostra gli spazi dei nomi di sistema comuni che potresti voler esentare dall'applicazione per evitare comportamenti indesiderati, come il blocco degli upgrade. Questo elenco non è completo:
- anthos-creds
- anthos-identity-service
- apigee
- apigee-system
- asm-system
- capi-kubeadm-bootstrap-system
- capi-system
- cert-manager
- cnrm-system
- config-management-monitoring
- config-management-system
- gke-connect
- gke-gmp-system
- gke-managed-cim
- gke-managed-filestorecsi
- gke-managed-metrics-server
- gke-managed-system
- gke-system
- gmp-public
- gmp-system
- hnc-system
- istio-system
- kube-node-lease
- kube-public
- kube-system
- poco-trial
- resource-group-system
- vm-system
- krmapihosting-system
- krmapihosting-monitoring