ポリシー コントローラの概要

このページでは、セキュリティ、規制、または任意のビジネス ルールに関連するポリシーへのクラスタのコンプライアンスを確認、監査、適用する Kubernetes 動的アドミッション コントローラである Policy Controller について説明します。

Policy Controller は、クラスタのコンプライアンスを制約と呼ばれるポリシーに適用します。例:

  • 各名前空間に少なくとも 1 つのラベルを要求できます。これは、たとえば GKE Usage Metering を使用する場合に必要です。
  • PodSecurityPolicy と同じ要件の多くを適用できますが、適用前に構成を監査する機能が追加されています。PodSecurityPolicy が正しくない場合、ワークロードが中断される可能性があります。Policy Controller を使用すると、適用前にその制約をテストし、特定のポリシーが意図したとおりに動作することを確認できます。
  • 特定のコンテナ イメージを取得するリポジトリを制限できます。Gatekeeper プロジェクト リポジトリの allowed-repos ディレクトリにある例をご覧ください。

制約に加えて、Policy Controller には制約テンプレートも導入されています。制約テンプレートを使用すると、制約がどのように機能するかを定義できますが、制約の詳細な定義は、制約に関する専門知識を持つ個人またはグループに委任できます。懸念事項を分離することに加え、このことは制約のロジックをその定義からも分離します。

Policy Controller は Anthos Config Management v1.1 以降に統合されています。Policy Controller は、Gatekeeper オープンソース プロジェクトから構築されています。

次のステップ