Présentation de Policy Controller
Cette page explique ce qu'est Policy Controller et comment l'utiliser pour vous assurer que vos charges de travail et clusters Kubernetes s'exécutent de manière sécurisée et conforme.
Policy Controller permet d'appliquer et d'appliquer des règles programmables pour vos clusters Kubernetes. Ces règles servent de "garde-fous" et peuvent vous aider à suivre les bonnes pratiques en matière de gestion, de sécurité et de conformité de vos clusters et de votre parc.
Policy Controller est basé sur le projet Open Source Open Policy Agent Gatekeeper et propose une bibliothèque complète de règles prédéfinies pour les contrôles de sécurité et de conformité courants.
En plus de contrôler activement votre environnement Kubernetes, vous pouvez éventuellement utiliser Policy Controller si vous souhaitez analyser la configuration avant de la déployer. Cela permet de recueillir de précieux commentaires au cours du processus de modification de la configuration et de s'assurer que toute modification non conforme est détectée rapidement, avant son rejet lors de sa mise en œuvre.
Contraintes
Policy Controller assure la conformité de votre cluster à l'aide d'objets appelés contraintes. Vous pouvez considérer les contraintes comme les éléments constitutifs d'une stratégie. Chaque contrainte définit une modification spécifique de l'API Kubernetes qui est autorisée ou non sur le cluster auquel elle s'applique. Vous pouvez définir des règles pour bloquer activement les requêtes API non conformes ou auditer la configuration de vos clusters afin de signaler les violations. Dans les deux cas, vous pouvez afficher les messages d'avertissement qui détaillent le non-respect des règles sur un cluster. Ces informations vous permettent de résoudre les problèmes. Par exemple, vous pouvez utiliser les contraintes individuelles suivantes:
- Exiger que chaque espace de noms contienne au moins un libellé. Cette contrainte permet par exemple de garantir un suivi précis de la consommation des ressources avec la mesure de l'utilisation de GKE.
- Restreindre les dépôts à partir desquels une image de conteneur donnée peut être extraite. Cette contrainte garantit que toute tentative d'extraction de conteneurs à partir de sources inconnues est refusée, ce qui empêche vos clusters d'exécuter des logiciels potentiellement malveillants.
- Déterminer si un conteneur peut s'exécuter en mode privilégié Cette contrainte contrôle la capacité de n'importe quel conteneur à activer le mode privilégié, ce qui vous permet de contrôler quels conteneurs peuvent être exécutés avec une règle non restreinte.
Ce ne sont là que quelques-unes des contraintes fournies dans la bibliothèque de modèles de contraintes incluse dans Policy Controller. Cette bibliothèque contient de nombreuses règles que vous pouvez utiliser pour appliquer les bonnes pratiques et limiter les risques.
Les contraintes peuvent être appliquées directement à vos clusters à l'aide de l'API Kubernetes, ou distribuées à un ensemble de clusters à partir d'une source d'informations fiables à l'aide de Config Sync.
Vous pouvez également appliquer plusieurs contraintes à la fois à l'aide d'un groupe de règles. Pour en savoir plus sur les groupes de règles, consultez la section Groupes de règles Policy Controller.
Pour en savoir plus, consultez l'article Créer des contraintes.
Vous pouvez également utiliser des groupes de règles pour appliquer un certain nombre de contraintes regroupées sous un thème standard de Kubernetes, une sécurité ou une conformité spécifique. Ces groupes de règles sont créés et maintenus par Google. Vous pouvez donc les utiliser sans écrire la moindre ligne de code. Par exemple, vous pouvez utiliser les groupes de règles suivants:
- Elle applique la plupart des exigences de PodSecurityPolicies, mais avec en plus la possibilité d'auditer votre configuration avant de l'appliquer, assurant ainsi que les modifications de stratégie ne perturbent pas l'exécution des charges de travail.
- Utilisez des contraintes compatibles avec Anthos Service Mesh pour auditer la conformité de vos failles et bonnes pratiques de sécurité du maillage.
- Appliquez les bonnes pratiques générales à vos ressources de cluster afin de renforcer votre stratégie de sécurité. Ce bundle est également utilisé dans la fonctionnalité Essayer avant l'achat de Policy Controller, ce qui vous permet d'essayer cet ensemble de règles de base à la demande sans frais supplémentaires.
Présentation des groupes Policy Controller : fournit plus de détails et la liste des groupes de règles actuellement disponibles.
Modèles de contrainte
Si vous avez besoin de plus de personnalisation que ne le permet la bibliothèque de modèles de contraintes, vous pouvez ajouter vos propres règles personnalisées en créant des modèles de contraintes. Les modèles de contrainte définissent les paramètres de stratégie, les messages d'erreur et la logique personnalisée.
Une fois créés, ces modèles permettent à quiconque d'appeler la stratégie à l'aide d'une contrainte, ce qui définit les paramètres ainsi que le champ d'application des ressources et des espaces de noms auxquels la stratégie s'applique. Cette séparation permet aux experts en la matière d'élaborer des stratégies une seule fois, puis d'autoriser d'autres personnes à les utiliser dans divers contextes, sans avoir à écrire ni à gérer de code stratégique.
Pour en savoir plus, consultez la section Écrire un modèle de contrainte.
RBAC Policy Controller et autorisations
Policy Controller comprend des charges de travail à privilèges élevés. Les autorisations associées à ces charges de travail sont décrites dans la documentation des opérations Open Policy Agent Gatekeeper.
Tableau de bord Policy Controller
Policy Controller inclut un tableau de bord dans la console Google Cloud, qui vous permet de consulter la couverture de vos règles et les violations de cluster. Pour en savoir plus, consultez Utiliser le tableau de bord de Policy Controller.
Étapes suivantes
- Profitez d'un essai gratuit de Policy Controller.
- Découvrez comment installer Policy Controller.
- Utiliser la bibliothèque de modèles de contrainte fournie par Google.