Policy Controller – Übersicht

Mit dem Policy Controller von Anthos Config Management können Sie vollständig programmierbare Richtlinien für Ihre Cluster erzwingen. Diese Richtlinien dienen als „Leitlinien” und verhindern, dass Änderungen an der Konfiguration der Kubernetes API gegen Sicherheits-, Betriebs- oder Compliancekontrollen verstoßen.

Sie können Richtlinien festlegen, um nicht konforme API-Anfragen zu blockieren oder einfach die Konfiguration Ihrer Cluster zu prüfen und Verstöße zu melden. Policy Controller basiert auf dem Open-Source-Projekt Open Policy Agent Gatekeeper und enthält eine vollständige Bibliothek mit vordefinierten Richtlinien für gängige Sicherheits- und Compliancekontrollen.

Neben der aktiven Steuerung Ihrer Kubernetes-Umgebung können Sie optional Policy Controller verwenden, um die Konfiguration vor der Bereitstellung auf Compliance zu analysieren. So erhalten Sie während der Konfiguration wertvolles Feedback und können sicherstellen, dass nicht konforme Änderungen frühzeitig erkannt werden, bevor sie während der Anwendung abgelehnt werden.

Einschränkungen

Policy Controller erzwingt die Compliance Ihrer Cluster mithilfe von Objekten, die als Einschränkungen bezeichnet werden. Sie können beispielsweise die folgenden Einschränkungen verwenden:

Dies sind nur einige der Einschränkungen, die als Teil der Einschränkungsbibliothek bereitgestellt werden, die in der Policy Controller-Installation enthalten ist. Diese Bibliothek enthält zahlreiche Richtlinien, mit denen Sie Best Practices erzwingen und Risiken begrenzen können.

Einschränkungen können mithilfe der Kubernetes API direkt auf Ihre Cluster angewendet oder mithilfe von Config Sync von einem zentralen Git-Repository aus auf eine Gruppe von Clustern verteilt werden.

Weitere Informationen finden Sie unter Einschränkungen erstellen.

Einschränkungsvorlagen

Mit Policy Controller können Sie auch benutzerdefinierte Richtlinien hinzufügen, indem Sie Einschränkungsvorlagen erstellen. Einschränkungsvorlagen definieren Richtlinienparameter, Fehlermeldungen und benutzerdefinierte Logik.

Nach der Erstellung kann jeder Nutzer die Richtlinie mithilfe einer Einschränkung aufrufen, die die Parameter festlegt und den Umfang der Ressourcen und Namespaces definiert, für die die Richtlinie gilt. Durch diese Trennung können Fachleute Richtlinien einmalig schreiben und dann andere in verschiedenen Kontexten verwenden, ohne dass Richtliniencode geschrieben oder verwaltet werden muss.

Nächste Schritte