Anthos Config Management の Policy Controller は、セキュリティ、規制、任意のビジネスルールに関連するポリシーを使用して、クラスタのコンプライアンスを、確認、監査、適用する Kubernetes 動的アドミッション コントローラです。
制約
Policy Controller は、制約と呼ばれるポリシーの遵守をクラスタに強制します。たとえば、次の制約を作成できます。
- 各名前空間に 1 つ以上のラベルがあることを必須とする制約。この制約は、たとえば、GKE 使用状況測定を使用する場合に必要です。
- PodSecurityPolicy と同じ要件の多くを適用できるが、適用前に構成を監査する機能を追加する制約。PodSecurityPolicy が正しくない場合、ワークロードが中断される可能性があります。Policy Controller を使用すると、適用前にその制約をテストし、特定のポリシーがワークロードを中断することなく意図したとおりに動作することを確認できます。
- 指定されたコンテナ イメージを引き出すことができるリポジトリを制限する制約。例については、Gatekeeper Library プロジェクト リポジトリの
allowedreposディレクトリをご覧ください。
詳細については、制約の作成をご覧ください。
制約に加えて、Policy Controller には制約テンプレートも導入されています。制約テンプレートを使用すると、制約がどのように機能するかを定義できますが、制約の詳細な定義は、制約に関する専門知識を持つ個人またはグループに委任できます。懸念事項を分離することに加え、制約テンプレートは、制約のロジックもその定義から分離します。
Policy Controller は、Anthos Config Management v1.1 以降に統合されています。Policy Controller は、オープンソース プロジェクトの Gatekeeper から構築されています。
次のステップ
- Policy Controller のインストール方法を確認する。
- Google が提供する制約テンプレート ライブラリを使用する。
- PodSecurityPolicies の代わりに制約を使用する方法を学ぶ。