Policy Controller installieren

Auf dieser Seite erfahren Sie, wie Sie Policy Controller installieren. Policy Controller prüft, überwacht und erzwingt die Einhaltung Ihres Clusters von Richtlinien in Bezug auf Sicherheit, Vorschriften oder Geschäftsregeln.

Diese Seite richtet sich an IT-Administratoren und ‑Betreiber, die dafür sorgen möchten, dass alle auf der Cloud-Plattform ausgeführten Ressourcen die Compliance-Anforderungen des Unternehmens erfüllen, indem sie Automatisierungsfunktionen zur Prüfung oder Durchsetzung bereitstellen und aufrechterhalten. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud-Inhalten verweisen, finden Sie unter Häufig verwendete GKE Enterprise-Nutzerrollen und -Aufgaben.

Policy Controller ist verfügbar, wenn Sie die Google Kubernetes Engine (GKE) Enterprise-Version verwenden. Weitere Informationen finden Sie unter Preise für die Google Kubernetes Engine (GKE) Enterprise-Version.

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

  1. Installieren und initialisieren Sie das Google Cloud CLI, das die in dieser Anleitung verwendeten Befehle gcloud, kubectl und nomos enthält. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit gcloud components update ab. Wenn Sie Cloud Shell verwenden, ist Google Cloud CLI vorinstalliert.
  2. Achten Sie darauf, dass der Open-Source-Open Policy Agent Gatekeeper nicht in Ihrem Cluster installiert ist. Ist dies doch der Fall, deinstallieren Sie Gatekeeper, bevor Sie Policy Controller installieren.
  3. Aktivieren Sie die GKE Enterprise API.

    GKE Enterprise API aktivieren

  4. Aktivieren Sie die Policy Controller API.

    Policy Controller API aktivieren

  5. Erstellen Sie einen Cluster, in dem eine Kubernetes-Version 1.14.x oder höher ausgeführt wird, oder sorgen Sie dafür, dass Sie auf einen solchen Cluster zugreifen können. Unter Umständen kann Policy Controller auch mit Kubernetes-Versionen vor 1.14.x ausgeführt werden. Das Produkt funktioniert dann aber nicht korrekt.

  6. Weisen Sie dem Nutzer die für die Registrierung des Clusters erforderlichen IAM-Rollen zu.

  7. Wenn Sie Policy Controller mit dem Google Cloud CLI konfigurieren möchten, registrieren Sie Ihren Cluster jetzt auf einer Flotte. Wenn Sie die Google Cloud Console nutzen, registrieren Sie Ihre Cluster bei der Installation von Policy Controller.

  8. Wenn Sie an GKE angehängte Cluster verwenden, darf Ihr AKS-Cluster nicht das Azure Policy-Add-on enthalten und Namespaces dürfen nicht mit dem Schlüssel control-plane gekennzeichnet werden.

  9. Wenn Sie Google Distributed Cloud auf VMware oder Bare Metal verwenden, müssen Sie Policy Controller auf einem Nutzercluster installieren. Policy Controller kann nicht auf einem Administratorcluster installiert werden.

Policy Controller installieren

Ab Version 1.16.0 können Sie Policy Controller mit der Google Cloud CLI direkt installieren und verwalten (empfohlen). Die Konfiguration von Policy Controller über das Objekt ConfigManagement wird nicht mehr empfohlen.

Console

Führen Sie die folgenden Schritte aus, um den Policy Controller in der Google Cloud Console zu konfigurieren:

  1. Rufen Sie in der Google Cloud Console im Abschnitt Statusverwaltung die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

  2. Wählen Sie Policy Controller installieren aus.

  3. Wählen Sie im Bereich Policy Controller-Installation eine der folgenden Installationsoptionen aus:

    • So installieren Sie Policy Controller auf allen Clustern in einer Flotte:

      1. Lassen Sie In Flotte installieren ausgewählt.

        Wenn Sie in Ihrem Projekt keine Flotte haben, können Sie im nächsten Schritt eine Flotte erstellen.

      2. Wenn Sie noch keine Flotte haben, wählen Sie einen Namen für Ihre Flotte aus.

      3. Wählen Sie Policy Controller aktivieren aus.

    • Policy Controller in einzelnen Clustern installieren

      1. Wählen Sie Auf einzelnen Clustern installieren aus.

      2. Wählen Sie in der Tabelle Verfügbare Cluster die Cluster aus, in denen Sie Policy Controller installieren möchten.

      3. Wählen Sie Policy Controller aktivieren aus.

Sie werden zum Tab Einstellungen des Policy Controllers weitergeleitet. Wenn Policy Controller in Ihren Clustern installiert und konfiguriert ist, wird in den Statusspalten Installiert angezeigt. Dieser Vorgang kann einige Minuten dauern.

gcloud Policy Controller

Aktivieren Sie Policy Controller mit folgendem Befehl:

gcloud container fleet policycontroller enable \
    --memberships=MEMBERSHIP_NAME

Sie können zusätzliche Felder festlegen, um Policy Controller zu konfigurieren. Sie können beispielsweise Policy Controller anweisen, einige Namespaces von der Erzwingung auszunehmen. Eine vollständige Liste der Felder, die Sie konfigurieren können, finden Sie in der Dokumentation zum Google Cloud CLI von Policy Controller oder führen Sie gcloud container fleet policycontroller enable --help aus.

gcloud-ConfigManagement

  1. Bereiten Sie die Konfiguration vor, indem Sie entweder ein neues apply-spec.yaml-Manifest erstellen oder ein vorhandenes Manifest verwenden. Mit einem vorhandenen Manifest können Sie den Cluster mit denselben Einstellungen konfigurieren, die auch von einem anderen Cluster verwendet werden.

    Neues Manifest erstellen

    Um Policy Controller mit neuen Einstellungen für Ihren Cluster zu konfigurieren, erstellen Sie eine Datei mit dem Namen apply-spec.yaml und kopieren Sie in diese die folgende YAML-Datei:

    # apply-spec.yaml
    
    applySpecVersion: 1
    spec:
      policyController:
        # Set to true to install and enable Policy Controller
        enabled: true
        # Uncomment to prevent the template library from being installed
        # templateLibraryInstalled: false
        # Uncomment to enable support for referential constraints
        # referentialRulesEnabled: true
        # Uncomment to disable audit, adjust value to set audit interval
        # auditIntervalSeconds: 0
        # Uncomment to log all denies and dryrun failures
        # logDeniesEnabled: true
        # Uncomment to enable mutation
        # mutationEnabled: true
        # Uncomment to exempt namespaces
        # exemptableNamespaces: ["namespace-name"]
        # Uncomment to change the monitoring backends
        # monitoring:
        #     backends:
        #     - cloudmonitoring
        #     - prometheus
      # ...other fields...
    

    Sie müssen das Feld spec.policyController hinzufügen und den Wert von enabled auf true setzen. Sie können auch andere Policy Controller-Features aktivieren. Der Support für referenzielle Einschränkungen ist jedoch standardmäßig deaktiviert. Vor dem Aktivieren sollten Sie sich mit den Warnhinweisen zu Eventual Consistency vertraut machen.

    Vorhandenes Manifest verwenden

    Um den Cluster mit den Einstellungen zu konfigurieren, die von einem anderen Cluster verwendet werden, rufen Sie diese Einstellungen von einem registrierten Cluster ab.

    gcloud alpha container fleet config-management fetch-for-apply \
         --membership=MEMBERSHIP_NAME \
         --project=PROJECT_ID \
         > CONFIG_YAML_PATH
    

    Dabei gilt:

    • MEMBERSHIP_NAME: Name der Mitgliedschaft des registrierten Clusters mit den Policy Controller-Einstellungen, die Sie verwenden möchten
    • PROJECT_ID: Ihre Projekt-ID
    • CONFIG_YAML_PATH: Pfad zur Datei apply-spec.yaml.
  2. Wenden Sie die Datei apply-spec.yaml an:

    gcloud beta container fleet config-management apply \
        --membership=MEMBERSHIP_NAME \
        --config=CONFIG_YAML \
        --project=PROJECT_ID
    

    Ersetzen Sie Folgendes:

    • MEMBERSHIP_NAME: Name der Mitgliedschaft des registrierten Clusters mit den Policy Controller-Einstellungen, die Sie verwenden möchten.
    • CONFIG_YAML: Fügen Sie den Pfad zur Datei apply-spec.yaml hinzu.
    • PROJECT_ID: Fügen Sie Ihre Projekt-ID hinzu.

Der Pod wird erstellt und Policy Controller beginnt mit der Prüfung und Durchsetzung von Einschränkungen.

Installation des Policy Controllers prüfen

Nach der Installation von Policy Controller können Sie prüfen, ob diese erfolgreich abgeschlossen wurde.

Console

Gehen Sie folgendermaßen vor:

  1. Rufen Sie in der Google Cloud Console im Abschnitt Statusverwaltung die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

  2. Prüfen Sie auf dem Tab Einstellungen in der Clustertabelle die Spalte Policy Controller-Status. Eine erfolgreiche Installation hat den Status Installiert .

gcloud Policy Controller

Führen Sie dazu diesen Befehl aus:

gcloud container fleet policycontroller describe --memberships=MEMBERSHIP_NAME

Eine erfolgreiche Installation zeigt membershipStates: MEMBERSHIP_NAME: policycontroller: state: ACTIVE an.

gcloud-ConfigManagement

Führen Sie dazu diesen Befehl aus:

gcloud beta container fleet config-management status \
    --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts.

Die Ausgabe sollte in etwa wie im folgenden Beispiel aussehen:

Name          Status  Last_Synced_Token  Sync_Branch  Last_Synced_Time      Policy_Controller
CLUSTER_NAME  SYNCED  a687c2c            1.0.0        2021-02-17T00:15:55Z  INSTALLED

Eine erfolgreiche Installation hat in der Spalte "Policy Controller" den Status INSTALLED.

Installation der Einschränkungsvorlagenbibliothek prüfen

Wenn Sie Policy Controller installieren, wird die Einschränkungsvorlagenbibliothek standardmäßig installiert. Die Installation kann einige Minuten dauern. Sie können prüfen, ob die Vorlagenbibliothek erfolgreich abgeschlossen wurde.

Console

Gehen Sie folgendermaßen vor:

  1. Rufen Sie in der Google Cloud Console im Abschnitt Statusverwaltung die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

  2. Wählen Sie auf dem Tab Einstellungen in der Clustertabelle die Zahl aus, die in der Spalte Installierte Pakete aufgeführt ist. Im Bereich Richtlinieninhaltsstatus hat eine erfolgreiche Installation der Vorlagenbibliothek den Status Installiert .

gcloud

Führen Sie dazu diesen Befehl aus:

kubectl get constrainttemplates

Die Ausgabe sollte in etwa wie im folgenden Beispiel aussehen:

NAME                                      AGE
k8sallowedrepos                           84s
k8scontainerlimits                        84s
k8spspallowprivilegeescalationcontainer   84s
...[OUTPUT TRUNCATED]...

Wenn eine Einschränkungsvorlage korrekt installiert ist, ist dessen status.created-Feld true.

Standardeinstellungen auf Flottenebene konfigurieren

Wenn Sie die Google Kubernetes Engine (GKE) Enterprise-Version aktiviert haben, können Sie Policy Controller als Standardeinstellung auf Flottenebene für Ihre Cluster aktivieren und konfigurieren. Dies bedeutet, dass für jeden neuen GKE-Cluster, der während der Clustererstellung registriert wird, Policy Controller im Cluster mit den von Ihnen angegebenen Einstellungen aktiviert ist. Weitere Informationen zur Standardkonfiguration für Flotten finden Sie unter Features auf Flottenebene verwalten.

Führen Sie die folgenden Schritte aus, um Standardeinstellungen auf Flottenebene für Policy Controller zu konfigurieren:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Feature Manager auf.

    Zu Feature Manager

  2. Klicken Sie im Bereich Richtlinie auf Konfigurieren.

  3. Einstellungen auf Flottenebene überprüfen. Alle neuen Cluster, die Sie bei der Flotte registrieren, übernehmen diese Einstellungen.

  4. Optional: Klicken Sie zum Ändern der Standardeinstellungen auf Flotteneinstellungen anpassen. Führen Sie im angezeigten Dialogfeld die folgenden Schritte aus:

    1. Klicken Sie im Abschnitt Richtlinien-Bundles hinzufügen/bearbeiten auf die entsprechende Ein-/Aus-Schaltfläche, um ein Richtlinien-Bundle ein- oder auszuschließen.
    2. Führen Sie im Abschnitt Policy Controller-Konfiguration bearbeiten folgende Schritte aus:
      1. Klicken Sie das Kästchen Mutations-Webhook aktivieren an, um den Mutations-Webhook zu aktivieren. Dieses Feature ist nicht mit Autopilot-Clustern kompatibel.
      2. Geben Sie im Feld Auditintervall den Zeitraum in Sekunden zwischen zwei aufeinanderfolgenden Audits ein.
      3. Geben Sie im Feld Ausnahmefähige Namespaces eine Liste von Namespaces ein. Policy Controller ignoriert Objekte in diesen Namespaces.
      4. Wenn Sie referenzielle Einschränkungen aktivieren möchten, klicken Sie das Kästchen Einschränkungsvorlagen aktivieren, die auf andere Objekte als das derzeit evaluierte verweisen an.
      5. Wählen Sie in der Liste Version die Policy Controller-Version aus, die Sie verwenden möchten.
    3. Klicken Sie auf Änderungen speichern.
  5. Klicken Sie auf Konfigurieren.

  6. Klicken Sie im Dialogfeld zur Bestätigung auf Bestätigen. Wenn Sie Policy Controller noch nicht aktiviert haben, wird durch Klicken auf Bestätigen die anthospolicycontroller.googleapis.com API aktiviert.

  7. Optional: Synchronisieren Sie vorhandene Cluster mit den Standardeinstellungen:

    1. Wählen Sie in der Liste Cluster in der Flotte die Cluster aus, die Sie synchronisieren möchten.
    2. Klicken Sie auf Mit Flotteneinstellungen synchronisieren und im angezeigten Bestätigungsdialogfeld auf Bestätigen. Dies kann einige Minuten dauern.

gcloud

  1. Erstellen Sie eine Datei mit dem Namen fleet-default.yaml, die die Standardkonfigurationen für den Policy Controller enthält. Das Feld installSpec ist erforderlich, um Standardeinstellungen auf Flottenebene zu aktivieren. Dieses Beispiel zeigt die Optionen, die Sie konfigurieren können:

    # cat fleet-default.yaml
    
     policyControllerHubConfig:
      installSpec: INSTALL_SPEC_ENABLED 
      # Uncomment to set default deployment-level configurations.
      # deploymentConfigs:
      #   admission:
      #     containerResources:
      #       limits:
      #        cpu: 1000m
      #         memory: 8Gi
      #       requests:
      #         cpu: 500m
      #         memory: 4Gi
      # Uncomment to set policy bundles that you want to install by default.
      # policyContent:
      #   bundles:
      #     cis-k8s-v1.5.1:
      #       exemptedNamespaces:
      #       - "namespace-name"
      # Uncomment to exempt namespaces from admission.
      # exemptableNamespaces:
      # - "namespace-name"
      # Uncomment to enable support for referential constraints
      # referentialRulesEnabled: true
      # Uncomment to disable audit, adjust value to set audit interval
      # auditIntervalSeconds: 0
      # Uncomment to log all denies and dryrun failures
      # logDeniesEnabled: true
      # Uncomment to enable mutation
      # mutationEnabled: true
      # Uncomment to adjust the value to set the constraint violation limit
      # constraintViolationLimit: 20
      # ... other fields ...
    
  2. Wenden Sie die Standardkonfiguration auf Ihre Flotte an:

    gcloud container fleet policycontroller enable \
      --fleet-default-member-config=fleet-default.yaml
    
  3. Führen Sie den folgenden Befehl aus, um zu prüfen, ob die Konfiguration angewendet wurde:

    gcloud container fleet policycontroller describe
    
  4. Führen Sie den folgenden Befehl aus, um die Standardkonfiguration auf Flottenebene zu entfernen:

    gcloud container fleet policycontroller enable \
      --no-fleet-default-member-config
    

Interaktionen von Policy Controller mit Config Sync

Wenn Sie Policy Controller mit Config Sync verwenden, sollten Sie die folgenden Interaktionen mit Ressourcen beachten, die in Ihrer "Source of Truth" gespeichert sind, z. B. ein Git-Repository, die von Config Sync synchronisiert werden:

  • Sie können eine Einschränkungsvorlage nicht synchronisieren, wenn sie gleichzeitig Teil der Vorlagenbibliothek ist, es sei denn, die Einschränkungsvorlagenbibliothek ist deaktiviert.

  • Wenn Sie die im Namespace gatekeeper-system gespeicherte Ressource Config synchronisieren möchten, müssen Sie nur die Ressource Config in der "Source of Truth" definieren. Die gatekeeper-system Namespace darf nicht damit definiert werden.

Einschränkungsvorlagenbibliothek verwalten

Informationen zum Deinstallieren oder Installieren von Einschränkungsvorlagen, den zugehörigen Einschränkungen oder der Einschränkungsvorlagenbibliothek finden Sie unter Einschränkungen erstellen.

Namespaces von der Erzwingung ausnehmen

Sie können Policy Controller so konfigurieren, dass Objekte innerhalb eines Namespaces ignoriert werden. Weitere Informationen finden Sie unter Namespaces vom Policy Controller ausschließen.

Ressourcen mutieren

Policy Controller fungiert auch als mutierender Webhook. Weitere Informationen finden Sie unter Ressourcen mutieren.

Policy Controller-Version anzeigen lassen

Prüfen Sie mit dem Image-Tag, welche Gatekeeper-Version Policy Controller verwendet, indem Sie den folgenden Befehl ausführen:

kubectl get deployments -n gatekeeper-system gatekeeper-controller-manager \
  -o="jsonpath={.spec.template.spec.containers[0].image}"

Das Git-Tag (oder Hash), das zum Erstellen von Gatekeeper verwendet wird, und die Versionsnummer des ConfigManagement Operator sind im Image-Tag so enthalten:

.../gatekeeper:VERSION_NUMBER-GIT_TAG.gBUILD_NUMBER

Für das folgende Image z. B. gilt:

gcr.io/config-management-release/gatekeeper:anthos1.3.2-480baac.g0
  • anthos1.3.2 ist die Versionsnummer.
  • 480baac ist das Git-Tag.
  • 0 ist die Build-Nummer.

Policy Controller aktualisieren

Bevor Sie das Upgrade für Policy Controller ausführen, lesen Sie in den Versionshinweisen, was sich zwischen den Versionen ändert.

Um Policy Controller zu aktualisieren, führen Sie die folgenden Schritte aus:

Console

  1. Rufen Sie in der Google Cloud Console im Abschnitt Statusverwaltung die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

  2. Wählen Sie auf dem Tab Einstellungen neben dem Cluster, dessen Version Sie aktualisieren möchten, Konfiguration bearbeiten aus.
  3. Maximieren Sie das Menü Policy Controller-Konfiguration bearbeiten.
  4. Wählen Sie in der Drop-down-Liste Version die Version aus, auf die Sie aktualisieren möchten.
  5. Klicken Sie auf Änderungen speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud container fleet policycontroller update \
  --version=VERSION \
  --memberships=MEMBERSHIP_NAME

Dabei gilt:

  • VERSION: Version, auf die Sie ein Upgrade ausführen möchten.
  • MEMBERSHIP_NAME: Name der Mitgliedschaft, den Sie bei der Registrierung Ihres Clusters ausgewählt haben. Sie ermitteln den Namen der Mitgliedschaft durch Ausführen von gcloud container fleet memberships list.

Policy Controller deinstallieren

Führen Sie die folgenden Schritte aus, um Policy Controller aus Ihren Clustern zu deinstallieren.

Console

Führen Sie die folgenden Aufgaben aus, um Policy Controller in Ihren Clustern zu deaktivieren:

  1. Rufen Sie in der Google Cloud Console im Abschnitt Statusverwaltung die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

  2. Wählen Sie auf dem Tab Einstellungen in der Clustertabelle in der Spalte Konfiguration bearbeiten die Option Bearbeiten aus.
  3. Scrollen Sie im Clusterbereich nach unten und maximieren Sie das Menü Informationen zu Policy Controller.
  4. Wählen Sie Policy Controller deinstallieren aus.
  5. Bestätigen Sie die Deinstallation. Folgen Sie dazu der Anleitung im Bestätigungsdialogfeld und wählen Sie Bestätigen aus.

Wenn Policy Controller deinstalliert ist, wird in den Statusspalten Nicht installiert angezeigt.

gcloud Policy Controller

Führen Sie folgenden Befehl aus, um Policy Controller zu deinstallieren:

gcloud container fleet policycontroller disable \
  --memberships=MEMBERSHIP_NAME

Ersetzen Sie MEMBERSHIP_NAME durch den Mitgliedschaftsnamen des registrierten Clusters, für den Policy Controller deaktiviert werden soll. Sie können mehrere Mitgliedschaften durch Kommas getrennt angeben.

gcloud-ConfigManagement

So deinstallieren Sie Policy Controller:

  1. Bearbeiten Sie die Konfiguration des ConfigManagement Operator in der Datei apply-spec.yaml und setzen Sie policyController.enabled auf false.

  2. Wenden Sie die Änderungen in der Datei apply-spec.yaml an:

     gcloud beta container fleet config-management apply \
         --membership=CLUSTER_NAME \
         --config=CONFIG_YAML \
         --project=PROJECT_ID
    

    Dabei gilt:

    • CLUSTER_NAME: Fügen Sie den registrierten Cluster hinzu, auf den Sie diese Konfiguration anwenden möchten.
    • CONFIG_YAML: Fügen Sie den Pfad zur Datei apply-spec.yaml hinzu.
    • PROJECT_ID: Fügen Sie Ihre Projekt-ID hinzu.

ConfigManagement Operator entfernen

Wenn Sie Policy Controller über das Objekt ConfigManagement installiert haben, müssen Sie auch den ConfigManagement Operator aus Ihren Clustern entfernen.

Um den ConfigManagement Operator zu entfernen, führen Sie die folgenden Befehle aus:

  1. Löschen Sie das ConfigManagement-Objekt aus dem Cluster:

    kubectl delete configmanagement --all
    

    Die Ausführung dieses Befehls führt zu Folgendem:

    • Alle vom ConfigManagement Operator im Cluster erstellten ClusterRoles und ClusterRoleBindings werden aus dem Cluster gelöscht.
    • Alle vom ConfigManagement Operator installierten Zulassungs-Controller-Konfigurationen werden gelöscht.
    • Der Inhalt des Namespace config-management-system wird gelöscht, mit Ausnahme des Secrets git-creds und für Versionen von Policy Controller ab 1.9.0 des config-management-operator Deployments und des config-management-operator-Pods. Der ConfigManagement Operator funktioniert ohne den Namespace config-management-system nicht. Alle vom ConfigManagement Operator-Controller erstellten oder geänderten CustomResourceDefinitions (CRDs) werden aus den Clustern entfernt, in denen sie erstellt oder geändert wurden. Die zur Ausführung des ConfigManagement Operator erforderliche CRD ist noch vorhanden, da sie aus der Perspektive von Kubernetes von dem Nutzer hinzugefügt wurde, der den ConfigManagement Operator installiert hat. Wie Sie diese Komponenten entfernen, erfahren Sie im nächsten Schritt.
  2. Wenn Sie das git-creds-Secret beibehalten möchten, sorgen Sie jetzt dafür:

    kubectl -n config-management-system get secret git-creds -o yaml
    
  3. Löschen Sie den Namespace config-management-system:

    kubectl delete ns config-management-system
    
  4. Löschen Sie den Namespace config-management-monitoring:

    kubectl delete ns config-management-monitoring
    
  5. Löschen Sie die ConfigManagement CustomResourceDefinition:

    kubectl delete crd configmanagements.configmanagement.gke.io
    

Policy Controller-RBAC und -Berechtigungen

Policy Controller bietet Arbeitslasten mit hohen Berechtigungen. Die Berechtigungen für diese Arbeitslasten werden in der Dokumentation zum Open Policy Agent Gatekeeper beschrieben.

Policy Controller-Ressourcenanfragen

In der folgenden Tabelle sind die Kubernetes-Ressourcenanforderungen für jede unterstützte Version von Policy Controller aufgeführt. Die Ressourcenanfragen für den ConfigManagement Operator gelten nur, wenn Sie Policy Controller über das ConfigManagement-Objekt installiert haben.

Komponente CPU Arbeitsspeicher
ConfigManagement Operator 100 m 100 Mi
Policy Controller 100 m 256 Mi

Nächste Schritte