Panoramica del controller dei criteri

Policy Controller di Anthos Config Management consente l'applicazione forzata di criteri completamente programmabili per i cluster. Questi criteri agiscono da "guardrail" e impediscono a qualsiasi modifica alla configurazione dell'API Kubernetes di violare i controlli di sicurezza, operativi o di conformità.

Puoi impostare criteri per bloccare attivamente le richieste API non conformi o semplicemente per controllare la configurazione dei tuoi cluster e segnalare le violazioni. Policy Controller si basa sul progetto open source Open Policy Agent Gatekeeper e include una libreria completa di criteri predefiniti per i controlli di sicurezza e conformità più comuni.

Oltre a controllare attivamente il tuo ambiente Kubernetes, puoi facoltativamente utilizzare Policy Controller per analizzare la configurazione per la conformità prima del deployment. In questo modo puoi fornire un feedback utile durante il processo di configurazione e assicurarti che le modifiche non conformi vengano rilevate in anticipo prima che possano essere rifiutate durante l'applicazione.

Vincoli

Policy Controller applica la conformità dei cluster utilizzando oggetti denominati vincoli. Ad esempio, puoi utilizzare i seguenti vincoli:

Questi sono solo alcuni dei vincoli forniti come parte della libreria di vincoli inclusa nell'installazione di Policy Controller. Questa libreria contiene numerosi criteri che consentono di applicare le best practice e limitare il rischio.

I vincoli possono essere applicati direttamente ai tuoi cluster tramite l'API Kubernetes o distribuiti a un insieme di cluster da un repository Git centrale tramite Config Sync.

Per scoprire di più, consulta la sezione Creazione di vincoli.

Modelli di vincolo

Policy Controller consente inoltre di aggiungere criteri personalizzati mediante la creazione di modelli di vincoli. I modelli di vincolo definiscono parametri di criteri, messaggi di errore e logica personalizzata.

Una volta creati, questi modelli consentono a chiunque di richiamare il criterio utilizzando un vincolo, che imposta i parametri e definisce l'ambito delle risorse e degli spazi dei nomi a cui si applica il criterio. Questa separazione consente agli esperti di materia di scrivere i criteri una sola volta e quindi consente ad altri di utilizzarli in vari contesti senza la necessità di scrivere o gestire il codice di criteri.

Per ulteriori informazioni, consulta la sezione Scrivere un modello di vincolo.

Autorizzazioni e RBAC di Policy Controller

Policy Controller include carichi di lavoro con privilegi elevati. Le autorizzazioni per questi carichi di lavoro sono trattate nella documentazione relativa alle operazioni Open Policy Agent Gatekeeper.

Passaggi successivi