שימוש במרכזי הבקרה של Policy Controller

בדף הזה מוסבר איך משתמשים במרכזי הבקרה של Policy Controller כדי לראות את הכיסוי של המדיניות ואת ההפרות של כללי המדיניות באשכול.

הדף הזה מיועד למנהלי IT ולמפעילים שרוצים לוודא שכל המשאבים שפועלים בפלטפורמת הענן עומדים בדרישות התאימות של הארגון. לשם כך, הם מספקים אוטומציה לביקורת או לאכיפה, ומגדירים התראות ומנטרים את מערכות ה-IT כדי לבדוק את הביצועים ואת נקודות החולשה. מידע נוסף על תפקידים נפוצים ומשימות לדוגמה שאנחנו מתייחסים אליהם ב Google Cloud תוכן, זמין במאמר תפקידים נפוצים של משתמשים ומשימות ב-GKE.

אפשר להשתמש במסוף Google Cloud כדי לראות לוח בקרה עם מידע על הכיסוי של המדיניות. בלוח הבקרה מוצג מידע כמו:

  • מספר האשכולות בצי (כולל אשכולות לא רשומים) שבהם מותקן Policy Controller.
  • מספר האשכולות שבהם מותקן Policy Controller, שמכילים הפרות של מדיניות.
  • מספר האילוצים שחלים על האשכולות שלכם לכל פעולת אכיפה.

אם אתם משתמשים בחבילות של Policy Controller, תוכלו לראות סקירה כללית של התאימות שלכם על סמך התקנים בחבילה אחת או יותר. הסקירה הכללית הזו היא צבירה ברמת הצי, והיא כוללת גם את האשכולות הלא רשומים שלכם (תצוגה מקדימה).

לפני שמתחילים

  1. מוודאים שהאשכולות רשומים בצי וש-Policy Controller מותקן באשכולות.

  2. כדי לקבל את ההרשאות שדרושות לשימוש בלוח הבקרה של Policy Controller, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

    • GKE Hub Viewer ‏ (roles/gkehub.viewer) בפרויקט שמכיל את הצי
    • התפקיד 'צפייה בנתוני מעקב' (roles/monitoring.viewer) בכל פרויקט עם אשכול ב-Fleet

    אפשר לקרוא מידע נוסף על הקצאת תפקידים במאמר ניהול הגישה.

צפייה בסטטוס של Policy Controller

אפשר לראות מידע על הכיסוי של המדיניות במסוף Google Cloud .

  1. במסוף Google Cloud , עוברים לדף Policy בקטע Posture Management.

    למדיניות

    בכרטיסייה Dashboard (מרכז הבקרה), תוכלו לראות סקירה כללית של הכיסוי של Policy Controller עם הפרטים הבאים:

    • הכיסוי של Policy Controller מציג את מספר האשכולות עם Policy Controller מותקן ובלעדיו.
    • בעמודה Clusters in violation (אשכולות עם הפרות) מוצג מספר האשכולות ללא הפרות ומספר האשכולות עם הפרות. ההפרות מבוססות על ההגבלות שחלות על האשכול.
    • בפעולת האכיפה מוצג סוג הפעולה שצוין בכל אילוץ. מידע נוסף על פעולות אכיפה זמין במאמר ביקורת באמצעות אילוצים.
    • תאימות לפי תקנים – סקירה כללית של התאימות שלכם על סמך התקנים בחבילה אחת או יותר של Policy Controller. אם אתם לא משתמשים בחבילות, הסטטוס בקטע הזה יהיה 'לא חל על 100% מהמקרים'.

  2. כדי לראות מידע מפורט יותר על הפרות מדיניות באשכול, עוברים לכרטיסייה הפרות:

    1. בקטע תצוגה לפי, בוחרים באחת מהאפשרויות הבאות:

      • Constraint: הצגת רשימה רגילה של כל האילוצים עם הפרות באשכול.
      • מרחב שמות: אילוצים של תצוגות עם הפרות, מאורגנים לפי מרחב השמות שמכיל את המשאב עם ההפרה.
      • Resource kind: הצגת אילוצים עם הפרות, לפי המשאב שבו יש הפרה.

    2. בכל תצוגה, בוחרים את שם האילוץ שרוצים לראות.

      בכרטיסייה פרטים מופיע מידע על ההפרה, כולל הפעולה המומלצת לפתרון הבעיה.

      בכרטיסייה Affected Resources (משאבים מושפעים) מוצג מידע על המשאבים שנבדקים על ידי האילוץ ושיש בהם הפרות מדיניות.

צפייה בממצאים של מדיניות ב-Security Command Center

אחרי שמתקינים את Policy Controller, אפשר לראות את הפרות המדיניות ב-Security Command Center. כך תוכלו לראות את מצב האבטחה של המשאבים שלכם ב- Google Cloud וגם של משאבי Kubernetes במקום אחד. צריך להפעיל את Security Command Center בארגון ברמת Standard או Premium.

ב-Security Command Center, הפרות מדיניות מוצגות כMisconfiguration ממצאים. הקטגוריה והשלבים הבאים לכל ממצא זהים לתיאור האילוץ ולשלבי התיקון.

מידע נוסף על השימוש ב-Policy Controller ב-Security Command Center זמין במאמר ממצאי נקודות חולשה של Policy Controller.