Questa pagina spiega come attivare i pacchetti di Policy Controller.
Per informazioni più dettagliate sull'applicazione e sull'utilizzo dei pacchetti di norme, leggi le istruzioni per il pacchetto che vuoi applicare utilizzando il menu di navigazione a sinistra. Per ulteriori informazioni sui bundle di criteri, consulta la panoramica dei bundle di Policy Controller.
Se hai installato Policy Controller utilizzando la console Google Cloud, il pacchetto di criteri di base è installato per impostazione predefinita, ma puoi attivare altri pacchetti.
Prima di iniziare
Applicare i pacchetti di criteri
Console
Per applicare uno o più bundle di criteri a un cluster utilizzando la console Google Cloud, completa i seguenti passaggi:
- Nella console Google Cloud, vai alla pagina Criteri di GKE Enterprise nella sezione Gestione della conformità.
Nella scheda Impostazioni, nella tabella del cluster, seleziona Modifica edit nella colonna Modifica configurazione.
Nel menu Aggiungi/modifica pacchetti di criteri, assicurati che la raccolta di modelli sia attivata.
Per attivare tutti i pacchetti di criteri, attiva Aggiungi tutti i pacchetti di critericheck_circle.
Per attivare i singoli pacchetti di criteri, attiva ogni pacchetto di criteri che vuoi attivare.
(Facoltativo) Per esentare uno spazio dei nomi dall'applicazione, espandi il menu Mostra impostazioni avanzate. Nel campo Spazi dei nomi esenti, fornisci un elenco di spazi dei nomi validi.
Best practice: Esenta gli spazi dei nomi di sistema per evitare errori nel tuo ambiente. Puoi trovare le istruzioni per esentare gli spazi dei nomi e un elenco di spazi dei nomi comuni creati dai servizi Google Cloud nella pagina Escludi spazi dei nomi.
Seleziona Salva modifiche.
Puoi visualizzare ulteriori informazioni sulla copertura delle norme e sulle violazioni utilizzando la dashboard di Policy Controller.
gcloud
Per applicare un bundle di criteri, completa i seguenti passaggi:
Se uno dei pacchetti che stai applicando utilizza vincoli referenziali, devi attivare il supporto per i vincoli referenziali:
gcloud alpha container hub policycontroller update --referential-rules
Puoi verificare se un pacchetto richiede il supporto per le limitazioni referenziali nella Panoramica dei pacchetti di criteri.
Per ogni bundle che vuoi installare, esegui il seguente comando:
gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME
Sostituisci
BUNDLE_NAME
con il nome del bundle che vuoi installare. Il nome è il prefisso del bundle, ad esempiocis-k8s-v1.5.1
. Puoi trovare un elenco di nomi nella Panoramica dei pacchetti di criteri.(Facoltativo) Per esentare uno spazio dei nomi dall'applicazione, esegui il seguente comando:
gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME \ --exempted-namespaces=NAMESPACES
Sostituisci
NAMESPACES
con un elenco separato da virgole di spazi dei nomi che non vuoi applicare, ad esempiokube-system,gatekeeper-system
.Per ulteriori informazioni su come aggiungere spazi dei nomi esenti, consulta Escludere gli spazi dei nomi da Policy Controller.
Per rimuovere un bundle, esegui il seguente comando:
gcloud alpha container hub policycontroller content bundles remove BUNDLE_NAME
Passaggi successivi
- Scopri di più sull'applicazione di vincoli individuali.
- Guarda un tutorial sull'utilizzo dei bundle di criteri nella pipeline CI/CD per eseguire lo shift left.