Policy Controller – Übersicht

Auf dieser Seite wird Policy Controller beschrieben, ein dynamischer Kubernetes-Admission-Controller, der die Einhaltung von Richtlinien in Bezug auf Sicherheit, Vorschriften oder beliebige Geschäftsregeln durch Ihre Cluster kontrolliert, prüft und erzwingt.

Policy Controller erzwingt die Konformität Ihrer Cluster mit Richtlinien, die als Einschränkungen bezeichnet werden. Beispiel:

  • Sie können verlangen, dass jeder Namespace mindestens ein Label hat. Dies ist beispielsweise erforderlich, wenn Sie GKE-Nutzungsmessung verwenden.
  • Sie können viele der gleichen Anforderungen erzwingen wie PodSecurityPolicies, haben aber zusätzlich die Möglichkeit, Ihre Konfiguration zu prüfen, bevor sie diese erzwingen. Eine falsche PodSecurityPolicy kann Arbeitslasten beeinträchtigen. Mit Policy Controller können Sie Einschränkungen testen, bevor Sie diese erzwingen, und prüfen, ob eine bestimmte Richtlinie wie vorgesehen funktioniert, ohne dass Ihre Arbeitslasten beeinträchtigt werden.
  • Sie können die Repositories einschränken, aus denen ein bestimmtes Container-Image abgerufen werden soll. Im allowed-repos-Verzeichnis im Gatekeeper-Projekt-Repository finden Sie dazu Beispiele.

Neben Einschränkungen führt Policy Controller auch Einschränkungenvorlagen ein. Mithilfe von Einschränkungsvorlagen können Sie die Funktionsweise einer Einschränkung definieren, aber die Details dieser Einschränkung an eine Einzelperson oder Gruppe mit Fachkenntnissen delegieren. Neben der Trennung von Fragestellungen wird auch die Logik der Einschränkung von der Definition getrennt.

Policy Controller ist in Anthos Config Management v1.1 und höher integriert. Policy Controller wurde aus dem Open-Source-Projekt Gateway entwickelt.

Nächste Schritte