Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Panoramica del controller dei criteri

Questa pagina spiega che cos'è Policy Controller di Anthos Config Management e come applica i criteri utilizzando vincoli e modelli di vincolo.

Policy Controller consente l'applicazione di criteri completamente programmabili per i tuoi cluster. Questi criteri fungono da "misure di protezione" e impediscono che qualsiasi modifica alla configurazione dell'API Kubernetes violi i controlli di sicurezza, operativi o di conformità.

Puoi impostare i criteri per bloccare attivamente le richieste API non conformi o semplicemente per controllare la configurazione dei tuoi cluster e segnalare violazioni. Policy Controller si basa sul progetto open source Open Policy Agent Gatekeeper e viene fornito con una libreria completa di criteri predefiniti per i controlli di sicurezza e conformità comuni.

Oltre a controllare attivamente il tuo ambiente Kubernetes, puoi facoltativamente utilizzare Policy Controller per analizzare la configurazione per la conformità prima del deployment. Questo contribuisce a fornire un feedback utile durante il processo di modifica della configurazione e garantisce che le modifiche non conformi vengano individuate prima che possano essere rifiutate durante l'applicazione.

Limitazioni

Policy Controller applica la conformità dei cluster utilizzando oggetti denominati vincoli. Ad esempio, puoi utilizzare i seguenti vincoli:

Questi sono solo alcuni dei vincoli forniti come parte della libreria dei vincoli inclusa nell'installazione di Policy Controller. Questa libreria contiene numerosi criteri che consentono di applicare le best practice e di limitare i rischi.

I vincoli possono essere applicati direttamente ai tuoi cluster utilizzando l'API Kubernetes o distribuiti a un insieme di cluster da un repository Git centrale tramite Config Sync.

Puoi anche applicare più vincoli contemporaneamente usando un pacchetto di criteri. Per ulteriori informazioni sui pacchetti di criteri, consulta la sezione Pacchetti di controller delle norme.

Per scoprire di più, consulta Creazione di vincoli.

Modelli di vincolo

Policy Controller consente inoltre di aggiungere criteri personalizzati creando modelli di vincolo. I modelli di vincolo definiscono i parametri del criterio, i messaggi di errore e la logica personalizzata.

Una volta creati, questi modelli consentono a chiunque di richiamare il criterio utilizzando un vincolo, che imposta i parametri e definisce l'ambito delle risorse e degli spazi dei nomi a cui si applica il criterio. Questa separazione consente agli esperti di materia di scrivere i criteri una sola volta e consentire ad altri di utilizzarli in vari contesti senza dover scrivere o gestire il codice dei criteri.

Per scoprire di più, consulta Scrivere un modello di vincolo.

Autorizzazioni e RBAC di Policy Controller

Policy Controller include carichi di lavoro con privilegi elevati. Le autorizzazioni per questi carichi di lavoro sono descritte nella documentazione relativa alle operazioni di Open Policy Agent Gatekeeper.

Passaggi successivi