Auf dieser Seite wird beschrieben, wie Sie ausgenommene Namespaces in Policy Controller konfigurieren.
Wird ein Namespace als „ausgenommen“ bestimmt, so wird er aus der Zulassungs-Webhook-Erzwingung mit
Policy Controller entfernt. Verstöße werden jedoch weiterhin in
Auditvermerkt. Wenn Sie keine Namespaces konfigurieren, ist nur der Namespace gatekeeper-system als von der Erzwingung des Policy Controller-Zulassungs-Webhooks ausgenommen präkonfiguriert.
Ausgenommene Namespaces konfigurieren
Durch Konfigurieren eines ausnahmefähigen Namespace wird das Label admission.gatekeeper.sh/ignore angewendet, wodurch der Namespace von der Erzwingung des Policy Controller-Zulassungs-Webhooks ausgenommen wird. Wenn Sie später einen ausnahmefähigen Namespace entfernen, wird das Label admission.gatekeeper.sh/ignore nicht aus dem Namespace entfernt.
Namespaces von der Erzwingung ausnehmen
Sie können Namespaces während der Installation von Policy Controller oder nach der Installation ausschließen. Im folgenden Prozess wird beschrieben, wie Sie Namespaces nach der Installation ausschließen.
Console
- Öffnen Sie in der Google Cloud Console im Bereich Posture Management die Seite Policy.
- Wählen Sie auf dem Tab Einstellungen in der Clustertabelle in der Spalte Konfiguration bearbeiten die Option Bearbeiten edit aus.
- Maximieren Sie das Menü Policy Controller-Konfiguration bearbeiten.
- Geben Sie im Feld Ausnahmefähige Namespaces eine Liste gültiger Namespaces an. Objekte in diesen Namespaces werden von allen Richtlinien ignoriert. Die Namespaces müssen noch nicht vorhanden sein.
- Wählen Sie Änderungen speichern aus.
gcloud
Führen Sie den folgenden Befehl aus, um Namespaces der Liste der Namespaces hinzuzufügen, die von der Erzwingung durch den Admission-Webhook ausgenommen werden können:
gcloud container fleet policycontroller update \
--memberships=MEMBERSHIP_NAME \
--exemptable-namespaces=NAMESPACE_LIST
Ersetzen Sie Folgendes:
MEMBERSHIP_NAME: Name der Mitgliedschaft des registrierten Clusters, für den Namespaces ausgenommen werden sollen. Sie können mehrere Mitgliedschaften durch Kommas getrennt angeben.NAMESPACE_LIST: Kommagetrennte Liste der Namespaces, für die Policy Controller von der Erzwingung ausgenommen werden soll.
Mit diesem Befehl werden Ressourcen nur vom Admission-Webhook ausgenommen. Die Ressourcen werden weiterhin geprüft. Wenn Sie Namespaces stattdessen von der Prüfung ausnehmen möchten, legen Sie die Ausnahme stattdessen auf der Ebene des Richtlinienpakets fest:
gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
--memberships=MEMBERSHIP_NAME \
--exempted-namespaces=NAMESPACE_LIST
Ersetzen Sie Folgendes:
BUNDLE_NAMEdurch den Namen des Richtlinienpakets, das Sie mit ausgenommenen Namespaces aktualisieren möchten.MEMBERSHIP_NAME: Name der Mitgliedschaft des registrierten Clusters, für den Namespaces ausgenommen werden sollen. Sie können mehrere Mitgliedschaften durch Kommas getrennt angeben.NAMESPACE_LIST: durch Kommas getrennte Liste der Namespaces, für die Policy Controller von der Erzwingung ausgenommen werden soll.
Namespaces von der Erzwingung ausnehmen
Die folgende Liste enthält häufig verwendete System-Namespaces, die Sie möglicherweise von der Erzwingung ausnehmen möchten, um unerwünschtes Verhalten wie das Blockieren von Upgrades zu vermeiden. Hier einige Beispiele:
- anthos-creds
- anthos-identity-service
- apigee
- apigee-system
- asm-system
- capi-kubeadm-bootstrap-system
- capi-system
- cert-manager
- cnrm-system
- config-management-monitoring
- config-management-system
- gke-connect
- gke-gmp-system
- gke-managed-cim
- gke-managed-filestorecsi
- gke-managed-metrics-server
- gke-managed-system
- gke-system
- gmp-public
- gmp-system
- hnc-system
- istio-system
- kube-node-lease
- kube-public
- kube-system
- poco-trial
- resource-group-system
- vm-system
- krmapihosting-system
- krmapihosting-monitoring