このページでは、セキュリティ、規制、または任意のビジネス ルールに関連するポリシーへのクラスタのコンプライアンスを確認、監査、適用する Kubernetes 動的アドミッション コントローラである Policy Controller について説明します。
Policy Controller は、クラスタのコンプライアンスを制約と呼ばれるポリシーに適用します。例:
- 各名前空間に少なくとも 1 つのラベルを要求できます。これは、たとえば GKE Usage Metering を使用する場合に必要です。
- PodSecurityPolicy と同じ要件の多くを適用できますが、適用前に構成を監査する機能が追加されています。PodSecurityPolicy が正しくない場合、ワークロードが中断される可能性があります。Policy Controller を使用すると、適用前にその制約をテストし、特定のポリシーが意図したとおりに動作することを確認できます。
- 特定のコンテナ イメージを取得するリポジトリを制限できます。Gatekeeper プロジェクト リポジトリの
allowed-reposディレクトリにある例をご覧ください。
制約に加えて、Policy Controller には制約テンプレートも導入されています。制約テンプレートを使用すると、制約がどのように機能するかを定義できますが、制約の詳細な定義は、制約に関する専門知識を持つ個人またはグループに委任できます。懸念事項を分離することに加え、このことは制約のロジックをその定義からも分離します。
Policy Controller は Anthos Config Management v1.1 以降に統合されています。Policy Controller は、Gatekeeper オープンソース プロジェクトから構築されています。
次のステップ
- Policy Controller をインストールする。
- 制約を作成する。
- Google が提供する制約テンプレート ライブラリを使用する。
- PodSecurityPolicies の代わりに制約を使用する方法を学ぶ。