Descripción general de Policy Controller

El controlador de políticas de Anthos Config Management es un controlador de admisión dinámica de Kubernetes que verifica, audita y aplica el cumplimiento de tus clústeres con políticas relacionadas con la seguridad, las normativas o las reglas empresariales arbitrarias.

Limitaciones

El controlador de políticas exige el cumplimiento de sus clústeres con políticas llamadas restricciones. Por ejemplo, puedes crear las siguientes restricciones:

  • Exigir que cada espacio de nombres tenga al menos una etiqueta. Esta restricción es obligatoria si usas la medición de uso de GKE, por ejemplo
  • Aplica varios requisitos iguales a los de PodSecurityPolicies, pero con la capacidad adicional de auditar tu configuración antes de forzarla. Una PodSecurityPolicy incorrecta puede interrumpir las cargas de trabajo. El controlador de políticas te permite probar restricciones antes de aplicarlas y verificar que una política determinada funciona según lo previsto sin correr el riesgo de que tus cargas de trabajo se interrumpan.
  • Restringir los repositorios desde los que se puede extraer una imagen de contenedor determinada. Para ver ejemplos, consulta el directorio allowedrepos en el repositorio del proyecto de la biblioteca de Gatekeeper

Para obtener más información, consulta Crea restricciones.

Junto con las restricciones, el controlador de políticas también presenta plantillas de restricciones. Las plantillas de restricciones te permiten definir cómo funciona una restricción y también delegar la definición de sus detalles a una persona o un grupo con experiencia en el tema. Además de separar las inquietudes, las plantillas de restricción también separan la lógica de la restricción de su definición.

El controlador de políticas está integrado en Anthos Config Management v1.1 y posteriores. El controlador de políticas se compila a partir del proyecto de código abierto Gatekeeper.

¿Qué sigue?