Halaman ini diterjemahkan oleh Cloud Translation API.

Menerapkan beberapa paket Pengontrol Kebijakan

Halaman ini menjelaskan cara mengaktifkan paket Pengontrol Kebijakan.

Untuk informasi yang lebih mendetail tentang cara menerapkan dan menggunakan paket kebijakan, baca petunjuk untuk paket yang ingin Anda terapkan menggunakan menu navigasi sebelah kiri. Untuk informasi selengkapnya tentang paket kebijakan, lihat ringkasan Paket Pengontrol Kebijakan.

Jika Anda menginstal Pengontrol Kebijakan menggunakan konsol Google Cloud , paket dasar kebijakan akan diinstal secara default, tetapi Anda dapat mengaktifkan lebih banyak paket.

Sebelum memulai

Menginstal Pengontrol Kebijakan.

Menerapkan paket kebijakan

Konsol

Untuk menerapkan satu atau beberapa paket kebijakan di cluster menggunakan konsol Google Cloud , selesaikan langkah-langkah berikut:

Di Google Cloud konsol, buka halaman Policy GKE Enterprise di bagian Posture Management.

Buka Kebijakan
Di tab Setelan, di tabel cluster, pilih Edit di kolom Edit configuration.
Di menu Tambahkan/Edit paket kebijakan, pastikan library template diaktifkan.
Untuk mengaktifkan semua paket kebijakan, aktifkan Tambahkan semua paket kebijakan di .
Untuk mengaktifkan setiap paket kebijakan, aktifkan setiap paket kebijakan yang ingin Anda aktifkan.
Opsional: Untuk mengecualikan namespace dari penerapan, luaskan menu Tampilkan setelan lanjutan. Di kolom Exempt namespaces, berikan daftar namespace yang valid.

Praktik terbaik:
Mengecualikan namespace sistem untuk menghindari error di lingkungan Anda. Anda dapat menemukan petunjuk untuk mengecualikan namespace dan daftar namespace umum yang dibuat oleh layanan Google Cloud di halaman Exclude namespaces.
Pilih Simpan perubahan.

Anda dapat melihat informasi tambahan tentang cakupan dan pelanggaran kebijakan menggunakan dasbor Pengontrol Kebijakan.

gcloud

Untuk menerapkan paket kebijakan, selesaikan langkah-langkah berikut:

Jika salah satu paket yang Anda terapkan menggunakan batasan referensi, Anda harus mengaktifkan dukungan untuk batasan referensi:
```
gcloud container fleet policycontroller update --referential-rules
```
Anda dapat memeriksa apakah paket memerlukan dukungan untuk batasan referensi di Ringkasan paket kebijakan.
Untuk setiap paket yang ingin Anda instal, jalankan perintah berikut:
```
gcloud container fleet policycontroller content bundles set BUNDLE_NAME
```
Ganti BUNDLE_NAME dengan nama paket yang ingin Anda instal. Namanya adalah awalan paket, misalnya cis-k8s-v1.5.1. Anda dapat menemukan daftar nama di Ringkasan paket kebijakan.
Opsional: Untuk mengecualikan namespace dari penerapan, jalankan perintah berikut:
```
gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
  --exempted-namespaces=NAMESPACES
```
Ganti NAMESPACES dengan daftar namespace yang dipisahkan koma yang tidak ingin Anda terapkan, misalnya kube-system,gatekeeper-system.

Untuk mengetahui informasi selengkapnya tentang cara menambahkan namespace yang dapat dikecualikan, lihat Mengecualikan namespace dari Pengontrol Kebijakan.

Untuk menghapus paket, jalankan perintah berikut:

gcloud container fleet policycontroller content bundles remove BUNDLE_NAME

Pemecahan masalah

Anda tidak dapat mengubah paket kebijakan yang diinstal langsung menggunakan petunjuk di halaman ini. Jika Anda mengalami masalah dengan paket kebijakan dan perlu melakukan pengeditan, instal paket menggunakan salah satu metode di halaman paket kebijakan masing-masing. Metode ini mengambil paket kebijakan dari repositori Git, yang memungkinkan Anda melakukan perubahan. Misalnya, jika Anda ingin mengedit CIS Kubernetes Benchmark 1.5, ikuti petunjuk di Menggunakan batasan kebijakan CIS Kubernetes Benchmark v1.5.1, bukan halaman ini.

Langkah berikutnya

Pelajari lebih lanjut cara menerapkan batasan individual.
Ikuti tutorial tentang menggunakan paket kebijakan di pipeline CI/CD untuk melakukan shift left.