Descripción general de Policy Controller

En esta página, se describe al controlador de políticas, un controlador de admisión dinámico de Kubernetes que verifica, audita y fuerza el cumplimiento de tus clústeres con las políticas relacionadas con la seguridad, las regulaciones o reglas comerciales arbitrarias.

Resumen

El controlador de políticas exige el cumplimiento de sus clústeres con políticas llamadas restricciones. Por ejemplo:

  • Puedes requerir que cada espacio de nombres tenga al menos una etiqueta. Esto es necesario si utiliza la medición de uso de GKE, por ejemplo.
  • Puede aplicar muchos de los mismos requisitos que PodSecurityPolicies, pero con la capacidad adicional de auditar su configuración antes de aplicarla. Una PodSecurityPolicy incorrecta puede interrumpir las cargas de trabajo. El controlador de políticas le permite probar las restricciones antes de aplicarlas y verificar que una política determinada funcione según lo previsto sin arriesgarse a la interrupción de sus cargas de trabajo.
  • Puede restringir los repositorios de los que se extraerá una imagen de contenedor determinada. Vea los ejemplos en el directorio allowed-repos en el repositorio de proyectos de Gatekeeper.

Junto con las restricciones, el controlador de políticas también presenta plantillas de restricciones. Las plantillas de restricciones le permiten definir cómo funciona una restricción, pero delega la definición de los detalles de la restricción a un individuo o grupo con experiencia en el tema. Además de separar las preocupaciones, esto también separa la lógica de la restricción de su definición.

El controlador de políticas está integrado en Anthos Config Management v1.1 y posteriores. El controlador de políticas está construido a partir del Gatekeeper, un proyecto de código abierto.

Qué sigue