החרגת מרחבי שמות מ-Policy Controller

בדף הזה מוסבר איך להגדיר מרחבי שמות שפטורים מכללים ב-Policy Controller.

מרחבי שמות מוחרגים מסירים מרחב שמות מאכיפת webhook של הרשאות עם Policy Controller, אבל כל ההפרות עדיין מדווחות בביקורת. אם לא מגדירים מרחבי שמות, רק מרחב השמות gatekeeper-system מוגדר מראש כפטור מאכיפת ה-webhook של בקר המדיניות.

הגדרת מרחבי שמות שפטורים מאימות

הגדרת מרחב שמות שניתן להחרגה מוסיפה את התווית admission.gatekeeper.sh/ignore, שפוטרת את מרחב השמות מאכיפת webhook של קבלת בקשות ב-Policy Controller. אם מסירים בהמשך מרחב שמות שניתן להחרגה, Policy Controller לא מסיר את התווית admission.gatekeeper.sh/ignore ממרחב השמות.

החרגת מרחבי שמות מאכיפה

אפשר להחריג מרחבי שמות במהלך ההתקנה של Policy Controller או אחרי ההתקנה. בתהליך הבא מוסבר איך להחריג מרחבי שמות אחרי ההתקנה.

המסוף

  1. במסוף Google Cloud , עוברים לדף Policy בקטע Posture Management.

    למדיניות

  2. בכרטיסייה הגדרות, בטבלת האשכולות, לוחצים על עריכה בעמודה עריכת הגדרה.
  3. מרחיבים את התפריט Edit Policy Controller configuration (עריכת ההגדרה של Policy Controller).
  4. בשדה Exempt namespaces (מרחבי שמות שמוחרגים), מזינים רשימה של מרחבי שמות תקינים. המערכת מתעלמת מכללי מדיניות לגבי אובייקטים במרחבי השמות האלה. מרחבי השמות לא צריכים להתקיים עדיין.
  5. לוחצים על שמירת השינויים.

gcloud

כדי להוסיף מרחבי שמות לרשימת מרחבי השמות שאפשר להחריג מאכיפה על ידי ה-webhook של בקרת הכניסה, מריצים את הפקודה הבאה:

  gcloud container fleet policycontroller update \
    --memberships=MEMBERSHIP_NAME \
    --exemptable-namespaces=NAMESPACE_LIST

מחליפים את מה שכתוב בשדות הבאים:

  • MEMBERSHIP_NAME: שם החברות של האשכול הרשום שרוצים להחריג בו את מרחבי השמות. אפשר לציין כמה חברויות ולהפריד ביניהן באמצעות פסיקים.
  • NAMESPACE_LIST: רשימה מופרדת בפסיקים של מרחבי שמות שרוצים ש-Policy Controller לא יאכוף לגביהם את המדיניות.

הפקודה הזו פוטרת משאבים רק מ-webhook של אישור. המשאבים עדיין נבדקים. כדי להחריג מרחבי שמות מביקורת, צריך להגדיר את ההחרגה ברמת חבילת המדיניות:

  gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
    --memberships=MEMBERSHIP_NAME \
    --exempted-namespaces=NAMESPACE_LIST

מחליפים את מה שכתוב בשדות הבאים:

  • BUNDLE_NAME בשם חבילת המדיניות שרוצים לעדכן עם מרחבי שמות שמוחרגים מהמדיניות.
  • MEMBERSHIP_NAME: שם החברות של האשכול הרשום שרוצים להחריג בו את מרחבי השמות. אפשר לציין כמה חברויות ולהפריד ביניהן באמצעות פסיקים.
  • NAMESPACE_LIST: רשימה מופרדת בפסיקים של מרחבי שמות שרוצים ש-Policy Controller לא יאכוף לגביהם את המדיניות.

מרחבי שמות שפטורים מאכיפה

הרשימה הבאה מציגה מרחבי שמות נפוצים של מערכות שאולי תרצו להחריג מהאכיפה כדי להימנע מהתנהגות לא רצויה, כמו חסימת שדרוגים. זו רשימה חלקית בלבד:

- anthos-creds
- anthos-identity-service
- apigee
- apigee-system
- asm-system
- capi-kubeadm-bootstrap-system
- capi-system
- cert-manager
- cnrm-system
- config-management-monitoring
- config-management-system
- gke-connect
- gke-gmp-system
- gke-managed-cim
- gke-managed-filestorecsi
- gke-managed-metrics-server
- gke-managed-system
- gke-system
- gmp-public
- gmp-system
- hnc-system
- istio-system
- kube-node-lease
- kube-public
- kube-system
- poco-trial
- resource-group-system
- vm-system
- krmapihosting-system
- krmapihosting-monitoring