Policy Controller – Übersicht

Der Policy Controller von Anthos Config Management ist ein dynamischer Zugangscontroller von Kubernetes, der die Einhaltung der Richtlinien in Bezug auf Sicherheit, Vorschriften oder beliebige Geschäftsregeln prüft, auditiert und erzwingt.

Einschränkungen

Policy Controller erzwingt die Konformität Ihrer Cluster mit Richtlinien, die als Einschränkungen bezeichnet werden. Sie können beispielsweise das folgende Modell erstellen:

  • Jeder Namespace muss mindestens ein Label haben. Dies ist beispielsweise erforderlich, wenn Sie GKE-Nutzungsmessung verwenden.
  • Sie können viele der gleichen Anforderungen erzwingen wie PodSecurityPolicies, haben aber zusätzlich die Möglichkeit, Ihre Konfiguration zu prüfen, bevor sie diese erzwingen. Eine falsche PodSecurityPolicy kann Arbeitslasten beeinträchtigen. Mit Policy Controller können Sie Einschränkungen testen, bevor Sie diese erzwingen, und prüfen, ob eine bestimmte Richtlinie wie vorgesehen funktioniert, ohne dass Ihre Arbeitslasten beeinträchtigt werden.
  • Beschränkung der Repositories, aus denen ein bestimmtes Container-Image abgerufen werden kann. Beispiele finden Sie im Verzeichnis allowedrepos im Projekt-Repository der Gatekeeper-Bibliothek.

Weitere Informationen finden Sie unter Einschränkungen erstellen.

Neben Einschränkungen führt Policy Controller auch Einschränkungenvorlagen ein. Mithilfe von Einschränkungsvorlagen können Sie die Funktionsweise einer Einschränkung definieren, aber die Details dieser Einschränkung an eine Einzelperson oder Gruppe mit Fachkenntnissen delegieren. Zusätzlich zur Trennung der Bedenken trennen diese Vorlagen auch die Logik der Einschränkung von ihrer Definition.

Policy Controller ist in Anthos Config Management Version 1.1 und höher eingebunden. Policy Controller basiert auf dem Open-Source-Projekt Gatekeeper.

Nächste Schritte