このページでは、Policy Controller のバンドルを有効にする方法について説明します。
ポリシー バンドルの適用と使用の詳細については、左側のナビゲーション メニューを使用して、適用するバンドルの手順を確認してください。ポリシー バンドルの詳細については、Policy Controller のバンドルの概要をご覧ください。
Google Cloud コンソールを使用して Policy Controller をインストールした場合、Policy Essentials バンドルはデフォルトでインストールされますが、さらに多くのバンドルを有効にすることもできます。
始める前に
ポリシー バンドルを適用する
Console
Google Cloud コンソールを使用してクラスタに 1 つ以上のポリシー バンドルを適用するには、次の手順を完了します。
- Google Cloud コンソールで [GKE Enterprise] に移動し、[体制の管理] の下にある [ポリシー] を選択します。
[設定] タブのクラスタ テーブルで、[構成の編集] 列にある [編集 edit] を選択します。
[ポリシー バンドルを追加 / 編集] メニューで、テンプレート ライブラリがオンになっていることを確認します。
すべてのポリシー バンドルを有効にするには、[すべてのポリシー バンドルの追加] をオン check_circle に切り替えます。
個々のポリシー バンドルを有効にするには、有効にする各ポリシー バンドルをオンにします。
省略可: Namespace の適用を解除するには、[詳細設定を表示] メニューを開きます。[Exempt namespaces] フィールドに、有効な Namespace のリストを入力します。
ベスト プラクティス: システム Namespace を除外して、環境でエラーが発生しないようにします。名前空間を除外する手順と、Google Cloud サービスによって作成された一般的な名前空間のリストについては、名前空間を除外するページをご覧ください。
[変更を保存] をクリックします。
ポリシー カバレッジと違反に関する追加情報は、Policy Controller ダッシュボードを使用して表示できます。
gcloud
ポリシー バンドルを適用する手順は次のとおりです。
適用するバンドルのいずれかが参照制約を使用している場合は、参照制約のサポートを有効にする必要があります。
gcloud alpha container hub policycontroller update --referential-rules
バンドルで参照制約のサポートが必要かどうかは、ポリシー バンドルの概要で確認できます。
インストールするバンドルごとに、次のコマンドを実行します。
gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME
BUNDLE_NAME
は、インストールするバンドルの名前に置き換えます。名前はバンドルの接頭辞です(たとえばcis-k8s-v1.5.1
)。名前の一覧については、ポリシー バンドルの概要をご覧ください。省略可: Namespace の適用を除外するには、次のコマンドを実行します。
gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME \ --exempted-namespaces=NAMESPACES
NAMESPACES
は、適用しない Namespace のカンマ区切りリストに置き換えます(例:kube-system,gatekeeper-system
)。除外可能な Namespace を追加する方法については、Policy Controller から Namespace を除外するをご覧ください。
バンドルを削除するには、次のコマンドを実行します。
gcloud alpha container hub policycontroller content bundles remove BUNDLE_NAME
次のステップ
- 個別の制約の適用について学ぶ。
- CI / CD パイプラインでポリシー バンドルを使用してシフトレフトするためのチュートリアルを利用する。