Mengecualikan namespace dari Pengontrol Kebijakan

Halaman ini menjelaskan cara mengonfigurasi namespace yang dikecualikan di Pengontrol Kebijakan.

Namespace yang dikecualikan akan menghapus namespace dari penegakan webhook penerimaan dengan Pengontrol Kebijakan, tetapi pelanggaran apa pun akan tetap dilaporkan dalam audit. Jika Anda tidak mengonfigurasi namespace apa pun, hanya namespace gatekeeper-system yang telah dikonfigurasi sebelumnya sebagai dikecualikan dari penegakan webhook penerimaan Pengontrol Kebijakan.

Mengonfigurasi namespace yang dikecualikan

Mengonfigurasi namespace yang dapat dikecualikan akan menerapkan label admission.gatekeeper.sh/ignore, yang mengecualikan namespace dari penegakan webhook penerimaan Pengontrol Kebijakan. Jika Anda menghapus namespace yang dapat dikecualikan nanti, Pengontrol Kebijakan tidak akan menghapus label admission.gatekeeper.sh/ignore dari namespace.

Mengecualikan namespace dari penegakan kebijakan

Anda dapat mengecualikan namespace baik selama penginstalan Pengontrol Kebijakan, atau setelah penginstalan. Proses berikut menunjukkan cara mengecualikan namespace setelah penginstalan.

Konsol

  1. Di Google Cloud konsol, buka halaman Policy di bagian Posture Management.

    Buka Policy

  2. Di tab Settings, di tabel cluster, pilih Edit di kolom Edit configuration.
  3. Luaskan menu Edit Policy Controller configuration.
  4. Di kolom Exempt namespaces, berikan daftar namespace yang valid. Objek di namespace ini diabaikan oleh semua kebijakan. Namespace belum harus ada.
  5. Pilih Save changes.

gcloud

Untuk menambahkan namespace ke daftar namespace yang dapat dikecualikan dari penegakan kebijakan oleh webhook penerimaan, jalankan perintah berikut:

  gcloud container fleet policycontroller update \
    --memberships=MEMBERSHIP_NAME \
    --exemptable-namespaces=NAMESPACE_LIST

Ganti kode berikut:

  • MEMBERSHIP_NAME: nama keanggotaan cluster terdaftar yang akan mengecualikan namespace. Anda dapat menentukan beberapa keanggotaan yang dipisahkan dengan koma.
  • NAMESPACE_LIST: daftar namespace yang dipisahkan koma yang ingin Anda kecualikan dari penegakan kebijakan oleh Pengontrol Kebijakan.

Perintah ini hanya mengecualikan resource dari webhook penerimaan. Resource masih diaudit. Untuk mengecualikan namespace dari audit, tetapkan pengecualian di tingkat paket kebijakan:

  gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
    --memberships=MEMBERSHIP_NAME \
    --exempted-namespaces=NAMESPACE_LIST

Ganti kode berikut:

  • BUNDLE_NAME dengan nama paket kebijakan yang ingin Anda perbarui dengan namespace yang dikecualikan.
  • MEMBERSHIP_NAME: nama keanggotaan cluster terdaftar yang akan mengecualikan namespace. Anda dapat menentukan beberapa keanggotaan yang dipisahkan dengan koma.
  • NAMESPACE_LIST: daftar namespace yang dipisahkan koma yang ingin Anda kecualikan dari penegakan kebijakan oleh Pengontrol Kebijakan.

Namespace yang akan dikecualikan dari penegakan kebijakan

Daftar berikut menunjukkan namespace sistem umum yang mungkin ingin Anda kecualikan dari penegakan kebijakan untuk menghindari perilaku yang tidak diinginkan seperti memblokir upgrade. Daftar berikut ini tidaklah lengkap:

- anthos-creds
- anthos-identity-service
- apigee
- apigee-system
- asm-system
- capi-kubeadm-bootstrap-system
- capi-system
- cert-manager
- cnrm-system
- config-management-monitoring
- config-management-system
- gke-connect
- gke-gmp-system
- gke-managed-cim
- gke-managed-filestorecsi
- gke-managed-metrics-server
- gke-managed-system
- gke-system
- gmp-public
- gmp-system
- hnc-system
- istio-system
- kube-node-lease
- kube-public
- kube-system
- poco-trial
- resource-group-system
- vm-system
- krmapihosting-system
- krmapihosting-monitoring