Diese Seite wurde von der Cloud Translation API übersetzt.

Mehrere Policy Controller-Bundles anwenden

Auf dieser Seite wird erläutert, wie Sie Policy Controller-Bundles aktivieren.

Ausführlichere Informationen zum Anwenden und Verwenden von Richtlinien-Bundles finden Sie in der Anleitung für das Bundle, das Sie über das Menü auf der linken Seite anwenden möchten. Weitere Informationen zu Richtlinienpaketen finden Sie in der Übersicht über Policy Controller-Bundles.

Wenn Sie Policy Controller über die Google Cloud Konsole installiert haben, ist das Policy Essentials-Bundle standardmäßig installiert. Sie können aber weitere Bundles aktivieren.

Hinweise

Policy Controller installieren

Richtlinien-Bundles anwenden

Console

So wenden Sie mithilfe der Google Cloud Console ein oder mehrere Richtlinienpakete auf einen Cluster an:

Rufen Sie in der Google Cloud Console im Abschnitt Statusverwaltung die Seite GKE Enterprise-Richtlinie auf.

Zur Richtlinie
Wählen Sie auf dem Tab Einstellungen in der Clustertabelle in der Spalte Konfiguration bearbeiten die Option Bearbeiten aus.
Achten Sie darauf, dass im Menü Richtlinien-Bundles hinzufügen/bearbeiten die Vorlagenbibliothek aktiviert ist.
Wenn Sie alle Richtlinien-Bundles aktivieren möchten, aktivieren Sie die Option Alle Richtlinien-Bundles hinzufügen.
Wenn Sie einzelne Richtlinienpakete aktivieren möchten, aktivieren Sie jedes Richtlinienpaket, das Sie aktivieren möchten.
Optional: Wenn Sie einen Namespace von der Erzwingung ausnehmen möchten, maximieren Sie das Menü Erweiterte Einstellungen anzeigen. Geben Sie im Feld Ausnahmefähige Namespaces eine Liste gültiger Namespaces an.

Best Practice:
Nehmen Sie System-Namespaces von der Ausnahme aus, um Fehler in Ihrer Umgebung zu vermeiden. Eine Anleitung zum Ausschließen von Namespaces und eine Liste gängiger Namespaces, die von Google Cloud -Diensten erstellt wurden, finden Sie auf der Seite Namespaces ausschließen.
Wählen Sie Änderungen speichern aus.

Im Policy Controller-Dashboard finden Sie weitere Informationen zu Ihrer Richtlinienabdeckung und zu Verstößen.

gcloud

So wenden Sie ein Richtlinienpaket an:

Wenn eines der von Ihnen angewendeten Bundles referenzielle Einschränkungen verwendet, müssen Sie die Unterstützung für referenzielle Einschränkungen aktivieren:
```
gcloud container fleet policycontroller update --referential-rules
```
Ob für ein Bundle die Unterstützung für referenzielle Einschränkungen erforderlich ist, können Sie in der Übersicht über Richtlinien-Bundles prüfen.
Führen Sie für jedes Bundle, das Sie installieren möchten, den folgenden Befehl aus:
```
gcloud container fleet policycontroller content bundles set BUNDLE_NAME
```
Ersetzen Sie BUNDLE_NAME durch den Namen des Bundles, das Sie installieren möchten. Der Name ist das Bundle-Präfix, z. B. cis-k8s-v1.5.1. Eine Liste der Namen finden Sie in der Übersicht über Richtlinienpakete.
Optional: Führen Sie folgenden Befehl aus, um einen Namespace von der Erzwingung auszunehmen:
```
gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
  --exempted-namespaces=NAMESPACES
```
Ersetzen Sie NAMESPACES durch eine durch Kommas getrennte Liste der Namespaces, für die die Richtlinie nicht erzwungen werden soll, z. B. kube-system,gatekeeper-system.

Weitere Informationen zum Hinzufügen ausgenommener Namespaces finden Sie unter Namespaces vom Policy Controller ausschließen.

Führen Sie den folgenden Befehl aus, um ein Bundle zu entfernen:

gcloud container fleet policycontroller content bundles remove BUNDLE_NAME

Fehlerbehebung

Richtlinienpakete, die direkt installiert werden, können nicht mithilfe der Anleitung auf dieser Seite geändert werden. Wenn Sie Probleme mit einem Richtlinienpaket haben und Änderungen vornehmen müssen, installieren Sie das Paket mit einer der Methoden auf der Seite des jeweiligen Richtlinienpakets. Bei diesen Methoden wird das Richtlinienpaket aus einem Git-Repository abgerufen, sodass Sie Änderungen vornehmen können. Wenn Sie beispielsweise den CIS Kubernetes Benchmark 1.5 bearbeiten möchten, folgen Sie der Anleitung unter CIS-Kubernetes-Benchmark-Richtlinieneinschränkungen der Version 1.5.1 verwenden anstelle dieser Seite.

Nächste Schritte

Weitere Informationen zum Anwenden einzelner Einschränkungen.
Lesen Sie eine Anleitung zur Verwendung von Richtlinien-Bundles in Ihrer CI/CD-Pipeline, um nach links zu verschieben.