複数の Policy Controller バンドルを適用する

このページでは、Policy Controller のバンドルを有効にする方法について説明します。

ポリシー バンドルの適用と使用の詳細については、左側のナビゲーション メニューを使用して、適用するバンドルの手順を確認してください。ポリシー バンドルの詳細については、Policy Controller のバンドルの概要をご覧ください。

Google Cloud コンソールを使用して Policy Controller をインストールした場合、Policy Essentials バンドルはデフォルトでインストールされますが、さらに多くのバンドルを有効にすることもできます。

始める前に

ポリシー バンドルを適用する

Console

Google Cloud コンソールを使用してクラスタに 1 つ以上のポリシー バンドルを適用するには、次の手順を完了します。

  1. Google Cloud コンソールで [GKE Enterprise] に移動し、[体制の管理] の下にある [ポリシー] を選択します。

    [ポリシー] に移動

  2. [設定] タブのクラスタ テーブルで、[構成の編集] 列にある [編集 ] を選択します。

  3. [ポリシー バンドルを追加 / 編集] メニューで、テンプレート ライブラリがオンになっていることを確認します。

  4. すべてのポリシー バンドルを有効にするには、[すべてのポリシー バンドルの追加] をオン に切り替えます。

  5. 個々のポリシー バンドルを有効にするには、有効にする各ポリシー バンドルをオンにします。

  6. 省略可: Namespace の適用を解除するには、[詳細設定を表示] メニューを開きます。[Exempt namespaces] フィールドに、有効な Namespace のリストを入力します。

    ベスト プラクティス:

    システム Namespace を除外して、環境でエラーが発生しないようにします。名前空間を除外する手順と、Google Cloud サービスによって作成された一般的な名前空間のリストについては、名前空間を除外するページをご覧ください。

  7. [変更を保存] をクリックします。

ポリシー カバレッジと違反に関する追加情報は、Policy Controller ダッシュボードを使用して表示できます。

gcloud

ポリシー バンドルを適用する手順は次のとおりです。

  1. 適用するバンドルのいずれかが参照制約を使用している場合は、参照制約のサポートを有効にする必要があります。

    gcloud alpha container hub policycontroller update --referential-rules
    

    バンドルで参照制約のサポートが必要かどうかは、ポリシー バンドルの概要で確認できます。

  2. インストールするバンドルごとに、次のコマンドを実行します。

    gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME
    

    BUNDLE_NAME は、インストールするバンドルの名前に置き換えます。名前はバンドルの接頭辞です(たとえば cis-k8s-v1.5.1)。名前の一覧については、ポリシー バンドルの概要をご覧ください。

  3. 省略可: Namespace の適用を除外するには、次のコマンドを実行します。

    gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME \
      --exempted-namespaces=NAMESPACES
    

    NAMESPACES は、適用しない Namespace のカンマ区切りリストに置き換えます(例: kube-system,gatekeeper-system)。

    除外可能な Namespace を追加する方法については、Policy Controller から Namespace を除外するをご覧ください。

  4. バンドルを削除するには、次のコマンドを実行します。

    gcloud alpha container hub policycontroller content bundles remove BUNDLE_NAME
    

次のステップ