Descripción general de Policy Controller

Policy Controller de Anthos Config Management habilita la aplicación de políticas completamente programables en tus clústeres. Estas políticas actúan como “recursos de seguridad” y evitan que los cambios en la configuración de la API de Kubernetes no cumplan con los controles de cumplimiento, operación o seguridad.

Puedes usar este conjunto de políticas para bloquear de forma activa las solicitudes a la API que no cumplen con los requisitos o solo para auditar la configuración de tus clústeres y denunciar las infracciones. Policy Controller se basa en el proyecto de código abierto Agente de política abierta de Gatekeeper y viene con una biblioteca completa de políticas prediseñadas para controles comunes de seguridad y cumplimiento.

Además de controlar de forma activa el entorno de Kubernetes, puedes usar el Policy Controller como una forma de analizar la configuración antes de implementarla. Esto ayuda a proporcionar comentarios valiosos durante el proceso de cambios de configuración y garantiza que no se detecten los cambios que no cumplan con las políticas antes de que se rechacen durante la aplicación.

Limitaciones

Policy Controller aplica el cumplimiento de los clústeres con objetos llamados restricciones. Por ejemplo, puedes usar las siguientes restricciones:

Estas son solo algunas de las restricciones que se proporcionan como parte de la biblioteca de restricciones que se incluye con la instalación de Policy Controller. Esta biblioteca contiene numerosas políticas que ayudan a aplicar las prácticas recomendadas y a limitar el riesgo.

Las restricciones se pueden aplicar directamente a tus clústeres con la API de Kubernetes, o pueden distribuirse a un conjunto de clústeres desde un repositorio de Git central mediante el Sincronizador de configuración.

Para obtener más información, consulta Crea restricciones.

Plantillas de restricciones

Policy Controller también te permite agregar tus propias políticas personalizadas a través de plantillas de restricciones. Las plantillas de restricciones definen parámetros de políticas, mensajes de error y lógica personalizada.

Una vez creadas, estas plantillas permiten que cualquiera invoque la política mediante una restricción, la cual establece los parámetros y define el alcance de los recursos y los espacios de nombres a los que se aplica la política. Esta separación permite que los expertos en la materia escriban políticas una sola vez y, luego, permitan que otras personas las usen en varios contextos sin necesidad de escribir o administrar código de política.

¿Qué sigue?