Présentation de Policy Controller

Le contrôleur de règles d'Anthos Config Management permet d'appliquer des règles entièrement programmables à vos clusters. Ces règles servent de "garde-fous" et empêchent toute modification de la configuration de l'API Kubernetes de contrevenir aux contrôles de sécurité, opérationnels ou de conformité.

Vous pouvez utiliser ces règles pour bloquer activement les requêtes API non conformes, ou simplement pour auditer la configuration de vos clusters et signaler des violations. Policy Controller est basé sur le projet Open Source Open Policy Agent Keeper et fourni avec une bibliothèque complète de règles prédéfinies destinées aux contrôles de sécurité et de conformité courants.

En plus de contrôler activement votre environnement Kubernetes, vous pouvez éventuellement utiliser Policy Controller si vous souhaitez analyser la configuration avant de la déployer. Cela permet de recueillir de précieux commentaires au cours du processus de modification de la configuration et de s'assurer que toute modification non conforme est détectée rapidement, avant son rejet lors de sa mise en œuvre.

Contraintes

Policy Controller assure la conformité de votre cluster à l'aide d'objets appelés contraintes. Par exemple, vous pouvez utiliser les contraintes suivantes :

Voici quelques-unes des contraintes fournies dans la bibliothèque de contraintes incluse dans l'installation de Policy Controller. Cette bibliothèque contient de nombreuses règles qui permettent d'appliquer les bonnes pratiques et de limiter les risques.

Les contraintes peuvent être appliquées directement aux clusters à l'aide de l'API Kubernetes, ou distribuées à un ensemble de clusters à partir d'un dépôt Git central à l'aide de Config Sync.

Pour en savoir plus, consultez l'article Créer des contraintes.

Modèles de contrainte

Policy Controller vous permet également d'ajouter vos propres stratégies personnalisées en créant des modèles de contrainte. Les modèles de contrainte définissent les paramètres de stratégie, les messages d'erreur et la logique personnalisée.

Une fois créés, ces modèles permettent à quiconque d'appeler la stratégie à l'aide d'une contrainte, ce qui définit les paramètres ainsi que le champ d'application des ressources et des espaces de noms auxquels la stratégie s'applique. Cette séparation permet aux experts en la matière d'élaborer des stratégies une seule fois, puis d'autoriser d'autres personnes à les utiliser dans divers contextes, sans avoir à écrire ni à gérer de code stratégique.

Étape suivante