En esta página, se describe cómo configurar espacios de nombres exentos en Policy Controller.
Los espacios de nombres exentos quitan un espacio de nombres de la aplicación del webhook de admisión con
Policy Controller, pero cualquier incumplimiento se informa en
la auditoría. Si no configuras ningún espacio de nombres, solo el espacio de nombres gatekeeper-system estará preconfigurado como exento de la aplicación del webhook de admisión de Policy Controller.
Configura espacios de nombres exentos
Configurar un espacio de nombres que se pueda eximir aplica la etiqueta admission.gatekeeper.sh/ignore, que exime el espacio de nombres de la aplicación del webhook de admisión de Policy Controller. Si luego quitas un espacio de nombres exento, Policy Controller no quitará la etiqueta admission.gatekeeper.sh/ignore del espacio de nombres.
Exime espacios de nombres de la aplicación
Puedes eximir espacios de nombres durante la instalación de Policy Controller o después de la instalación. En el siguiente proceso, se muestra cómo eximir espacios de nombres después de la instalación.
Console
- En la Google Cloud consola, ve a la página Política en la sección Administración de la postura.
- En la pestaña Configuración, en la tabla del clúster, selecciona Editar edit en la columna Editar configuración.
- Expande el menú Editar configuración de Policy Controller.
- En el campo Eximir espacios de nombres, proporciona una lista de espacios de nombres válidos. Todas las políticas ignoran los objetos de estos espacios de nombres. Los espacios de nombres aún no deben existir.
- Selecciona Guardar cambios.
gcloud
Para agregar espacios de nombres a la lista de espacios de nombres que se pueden eximir de la aplicación del webhook de admisión, ejecuta el siguiente comando:
gcloud container fleet policycontroller update \
--memberships=MEMBERSHIP_NAME \
--exemptable-namespaces=NAMESPACE_LIST
Reemplaza lo siguiente:
MEMBERSHIP_NAME: Es el nombre de membresía del clúster registrado para eximir espacios de nombres. Puedes especificar varias membresías separadas por comas.NAMESPACE_LIST: Es una lista separada por comas de los espacios de nombres que deseas que Policy Controller exima de la aplicación forzosa.
Este comando exime los recursos solo del webhook de admisión. Los recursos aún se auditan. Para eximir espacios de nombres de la auditoría, configura la exención a nivel del paquete de políticas:
gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
--memberships=MEMBERSHIP_NAME \
--exempted-namespaces=NAMESPACE_LIST
Reemplaza lo siguiente:
BUNDLE_NAMEpor el nombre del paquete de políticas que deseas actualizar con espacios de nombres exentos.MEMBERSHIP_NAME: Es el nombre de membresía del clúster registrado para eximir espacios de nombres. Puedes especificar varias membresías separadas por comas.NAMESPACE_LIST: Es una lista separada por comas de los espacios de nombres que deseas que Policy Controller exima de la aplicación forzosa.
Espacios de nombres para eximir de la aplicación
En la siguiente lista, se muestran los espacios de nombres del sistema comunes que puedes eximir de la aplicación para evitar comportamientos no deseados, como el bloqueo de actualizaciones. La siguiente lista no es exhaustiva:
- anthos-creds
- anthos-identity-service
- apigee
- apigee-system
- asm-system
- capi-kubeadm-bootstrap-system
- capi-system
- cert-manager
- cnrm-system
- config-management-monitoring
- config-management-system
- gke-connect
- gke-gmp-system
- gke-managed-cim
- gke-managed-filestorecsi
- gke-managed-metrics-server
- gke-managed-system
- gke-system
- gmp-public
- gmp-system
- hnc-system
- istio-system
- kube-node-lease
- kube-public
- kube-system
- poco-trial
- resource-group-system
- vm-system
- krmapihosting-system
- krmapihosting-monitoring