Panoramica di Policy Controller

Questa pagina spiega che cos'è Policy Controller e come puoi utilizzarlo per assicurarti che i cluster e i carichi di lavoro Kubernetes vengano eseguiti in un modo sicuro e conforme.

Policy Controller consente l'applicazione e l'applicazione dei criteri programmabili per i tuoi cluster Kubernetes. Questi criteri fungono da "barriere" e possono aiutare a gestire le best practice, la sicurezza e la conformità dei tuoi cluster e del tuo parco risorse. Basato sul progetto open source Open Policy Agent Gatekeeper, Policy Controller è completamente integrato con Google Cloud, include una dashboard integrata per osservabilità e viene fornita una libreria completa di criteri predefiniti per i controlli di sicurezza e conformità più comuni.

Vantaggi di Policy Controller

Integrato con Google Cloud: gli amministratori di piattaforma possono installare Policy Controller utilizzando la console Google Cloud, Terraform e Google Cloud CLI su qualsiasi cluster connesso al parco risorse. Policy Controller funziona con altri servizi Google Cloud come Config Sync, metrics e Cloud Monitoring.
Supporta più punti di applicazione: oltre al controllo di controllo e ammissione per il cluster, Policy Controller può facoltativamente abilitare un approccio basato sul passaggio a sinistra per analizzare e rilevare le modifiche non conformi prima dell'applicazione.
Pacchetti di criteri predefiniti: Policy Controller include una libreria completa di criteri predefiniti per i controlli di sicurezza e conformità più comuni. Includono sia i pacchetti di criteri, creati e gestiti da Google, sia la libreria di modelli di vincolo.
Supporta criteri personalizzati: se è necessaria la personalizzazione dei criteri oltre a quella disponibile tramite la libreria di modelli di vincolo, Policy Controller supporta inoltre lo sviluppo di modelli di vincolo personalizzati.
Osservabilità integrata: Policy Controller include una dashboard della console Google Cloud, che offre una panoramica dello stato di tutti i criteri applicati al parco risorse. Nella dashboard, visualizza lo stato di conformità e di applicazione per aiutarti a risolvere i problemi e ricevere suggerimenti utili per risolvere le violazioni delle norme.

Screenshot della pagina della dashboard dello stato di Anthos Config Management nella console
Google Cloud

Pacchetti di criteri

Puoi utilizzare i pacchetti di criteri per applicare una serie di vincoli raggruppati in un tema standard, di sicurezza o di conformità Kubernetes specifico. Questi pacchetti di criteri sono creati e gestiti da Google e sono quindi pronti per essere utilizzati senza dover scrivere codice. Ad esempio, puoi utilizzare i seguenti pacchetti di criteri:

Applica molti degli stessi requisiti dei PodSecurityPolicies, ma con la possibilità aggiuntiva di controllare la configurazione prima di applicarla, assicurarti che eventuali modifiche ai criteri non interrompano l'esecuzione dei carichi di lavoro.
Utilizza vincoli compatibili con Anthos Service Mesh per controllare la conformità delle vulnerabilità e delle best practice per la sicurezza del mesh.
Applicare le best practice generali alle risorse del cluster per rafforzare la tua strategia di sicurezza. Questo pacchetto viene utilizzato anche nella funzionalità Prova prima di acquistare di Policy Controller, quindi puoi provare questo insieme di criteri di base on demand senza costi aggiuntivi.

La panoramica dei pacchetti di Policy Controller fornisce ulteriori dettagli e un elenco dei pacchetti di criteri attualmente disponibili.

Limitazioni

Policy Controller applica la conformità dei cluster utilizzando oggetti chiamati vincoli. Puoi considerare i vincoli come gli elementi costitutivi dei criteri. Ogni vincolo definisce una modifica specifica all'API Kubernetes consentita o non consentita nel cluster a cui viene applicata. Puoi impostare i criteri per bloccare attivamente le richieste API non conformi o verificare la configurazione dei tuoi cluster e segnalare le violazioni. In entrambi i casi, puoi visualizzare i messaggi di avviso con i dettagli sulla violazione riscontrata in un cluster. Con queste informazioni, puoi risolvere i problemi. Ad esempio, puoi utilizzare i seguenti vincoli individuali:

Richiedi che ogni spazio dei nomi abbia almeno un'etichetta. Questo vincolo può essere utilizzato, ad esempio, per garantire il monitoraggio accurato del consumo di risorse durante l'utilizzo della misurazione dell'utilizzo di GKE.
Limita i repository da cui è possibile eseguire il pull di una determinata immagine container. Questo vincolo garantisce che qualsiasi tentativo di pull di container da origini sconosciute venga negato, proteggendo i tuoi cluster dall'esecuzione di software potenzialmente dannoso.
Controlla se un container può essere eseguito o meno in modalità con privilegi. Questo vincolo controlla la possibilità di qualsiasi container di abilitare la modalità con privilegi, che ti consente di controllare quali container (se presenti) possono essere eseguiti con criteri senza restrizioni.

Questi sono solo alcuni dei vincoli forniti nella libreria di modelli di vincolo inclusa con Policy Controller. Questa libreria contiene numerosi criteri che puoi utilizzare per applicare le best practice e limitare i rischi. Se hai bisogno di una maggiore personalizzazione oltre a quella disponibile nella libreria dei modelli di vincolo, puoi anche creare modelli di vincolo personalizzati.

I vincoli possono essere applicati direttamente ai tuoi cluster utilizzando l'API Kubernetes oppure distribuiti a un set di cluster da una fonte attendibile utilizzando Config Sync.

Passaggi successivi

Prova la prova gratuita di Policy Controller.
Scopri come installare Policy Controller.
Applica un pacchetto di norme.
Crea i tuoi vincoli.