ポリシー コントローラの概要

Anthos Config Management のポリシー コントローラは、セキュリティ、規制、任意のビジネスルールに関連するポリシーを使用して、クラスタのコンプライアンスを、確認、監査、適用するKubernetes 動的アドミッション コントローラです。

制約

Policy Controller は、クラスタのコンプライアンスを制約と呼ばれるポリシーに適用します。たとえば、次の制約を作成できます。

  • 各名前空間に 1 つ以上のラベルがあることを必須とする制約。この制約は、たとえば、GKE 使用状況測定を使用する場合に必要です。
  • PodSecurityPolicy と同じ要件の多くを適用できますが、適用前に構成を監査する機能が追加されています。PodSecurityPolicy が正しくない場合、ワークロードが中断される可能性があります。Policy Controller を使用すると、適用前にその制約をテストし、特定のポリシーがワークロードを中断することなく意図したとおりに動作することを確認できます。
  • 指定されたコンテナ イメージを引き出すことができるリポジトリを制限します。例については、Gatekeeper 図書館プロジェクト リポジトリの allowedrepos ディレクトリをご覧ください。

詳細については、制約の作成をご覧ください。

制約に加えて、Policy Controller には制約テンプレートも導入されています。制約テンプレートを使用すると、制約がどのように機能するかを定義できますが、制約の詳細な定義は、制約に関する専門知識を持つ個人またはグループに委任できます。懸念事項を分離することに加え、制約テンプレートは、制約のロジックをその定義からも分離します。

Policy Controller は Anthos Config Management v1.1 以降に統合されています。Policy Controller は、Gatekeeper オープンソース プロジェクトから構築されています。

次のステップ