Présentation de Policy Controller

Cette page décrit Policy Controller, un contrôleur d'admission dynamique Kubernetes qui vérifie, audite et applique la conformité de vos clusters aux règles liées à la sécurité, aux réglementations ou aux règles métier arbitraires.

Policy Controller applique la conformité de vos clusters aux règles appelées contraintes. Exemple :

  • Vous pouvez exiger que chaque objet Namespace dispose d'au moins un libellé. Cela est nécessaire si vous utilisez la Mesure de l'utilisation de GKE, par exemple.
  • Vous pouvez appliquer la plupart des mêmes exigences que PodSecurityPolicies, mais avec en plus la possibilité d'auditer votre configuration avant de l'appliquer. Une règle PodSecurityPolicy incorrecte peut perturber les charges de travail. Policy Controller vous permet de tester les contraintes avant de les appliquer, et de vérifier qu’une règle donnée fonctionne comme prévu sans risquer de perturber vos charges de travail.
  • Vous pouvez restreindre les dépôts à partir desquels une image de conteneur donnée peut être extraite. Consultez les exemples dans le répertoire allowedrepos du dépôt de projet de la bibliothèque GateKeeper.

Parallèlement aux contraintes, Policy Controller introduit également des modèles de contrainte. Les modèles de contrainte vous permettent de définir le fonctionnement d'une contrainte mais délèguent la définition des spécificités de la contrainte à un individu ou à un groupe ayant une expertise en la matière. En plus de séparer les divers problèmes, cela sépare également la logique de la contrainte de sa définition.

Policy Controller est intégré à Anthos Config Management v1.1 et version ultérieure. Policy Controller est conçu à partir de Gatekeeper, un projet Open Source.

Étape suivante