정책 컨트롤러 개요

이 페이지에서는 정책 컨트롤러에 대해 소개하고 이를 사용하여 Kubernetes 클러스터와 워크로드를 규정을 준수하는 안전한 방식으로 실행하는 방법을 설명합니다.

정책 컨트롤러를 사용 설정하면 Kubernetes 클러스터에 프로그래밍 가능한 정책을 적용하고 시행할 수 있습니다. 정책은 가드레일 역할을 하며 클러스터와 Fleet의 권장사항, 보안, 규정 준수 관리에 도움이 됩니다. 오픈소스 Open Policy Agent Gatekeeper 프로젝트를 기반으로 하는 정책 컨트롤러는 Google Cloud와 완전히 통합되었으며, 관측 가능성을 위해 기본 제공되는 대시보드를 포함하며, 공통 보안 및 규정준수 제어를 위해 사전 빌드된 정책의 전체 라이브러리와 함께 제공됩니다.

정책 컨트롤러는 Google Kubernetes Engine(GKE) Enterprise 버전 라이선스에서 제공됩니다.

정책 컨트롤러 이점

• Google Cloud에 통합: 플랫폼 관리자가 Fleet에 연결된 모든 클러스터에서 Google Cloud 콘솔, Terraform, Google Cloud CLI를 사용하여 정책 컨트롤러를 설치할 수 있습니다. 정책 컨트롤러는 구성 동기화, 측정항목, Cloud Monitoring와 같은 다른 Google Cloud 서비스와 함께 작동합니다.
• 여러 시행 지점 지원: 클러스터에 대한 감사 및 허용 제어 외에도 정책 컨트롤러는 규정 준수하지 않는 변경사항을 분석 및 포착하기 위해 적용 이전에 선택적으로 원점 회귀 접근 방식을 사용 설정할 수 있습니다.
• 사전 구축된 정책 번들: 정책 컨트롤러는 공통 보안 및 규정 준수 제어를 위해 사전 빌드된 정책의 전체 라이브러리와 함께 제공됩니다. 여기에는 Google에서 빌드 및 유지 관리되는 정책 번들과 제약조건 템플릿 라이브러리가 모두 포함됩니다.
• 커스텀 정책 지원: 제약조건 템플릿 라이브러리를 사용하여 제공되는 것 이상으로 정책 맞춤설정이 필요한 경우 정책 컨트롤러는 또한 커스텀 제약조건 템플릿 개발을 지원합니다.
• 기본 제공되는 관측 가능성: 정책 컨트롤러에는 Fleet에 적용된 모든 정책의 상태에 대한 개요를 제공하는 Google Cloud 콘솔 대시보드가 포함됩니다(미등록 클러스터 포함). 대시보드에서 문제 해결에 도움이 되는 규정 준수 및 시행 상태를 확인하고 정책 위반을 해결하기 위한 설득력 있는 권장사항을 얻을 수 있습니다.

정책 번들

정책 번들을 사용하여 특정 Kubernetes 표준, 보안, 규정 준수 테마로 그룹화된 많은 제약조건을 적용할 수 있습니다. 이러한 정책 번들은 Google에서 빌드되고 유지 관리되므로 코드를 작성할 필요 없이 바로 사용할 수 있습니다. 예를 들어 다음 정책 번들을 사용할 수 있습니다.

• PodSecurityPolicies와 동일한 요구사항을 여러 개 적용하지만 적용 전에 구성을 감사하는 기능이 추가되어 정책 변경사항이 워크로드 실행에 지장을 주지 않도록 할 수 있습니다.
• Anthos Service Mesh와 호환되는 제약조건을 사용하여 메시 보안 취약점 및 권장사항의 규정 준수를 감사합니다.
• 클러스터 리소스에 일반적인 권장사항을 적용하여 보안 상태를 강화합니다. 이 번들은 정책 컨트롤러의 구매 전에 체험하기 기능에서도 사용되므로 추가 비용 없이 주문형으로 이 기준 정책 모음을 사용해 볼 수 있습니다.

정책 컨트롤러 번들 개요에서 자세한 내용과 현재 사용 가능한 정책 번들 목록을 제공합니다.

제약조건

정책 컨트롤러는 제약조건이라고 하는 객체를 사용하여 클러스터 규정 준수를 시행합니다. 제약조건은 정책의 '구성요소'와 같습니다. 각 제약조건은 적용된 클러스터에서 허용 또는 금지되는 Kubernetes API에 대한 특정 변경사항을 정의합니다. 정책을 사용하여 규정을 준수하지 않는 API 요청을 적극적으로 차단하거나 클러스터 구성을 감사하고 위반사항을 신고할 수 있습니다. 어느 경우든지 클러스터에 발생한 위반에 대한 세부정보와 함께 경고 메시지를 확인할 수 있습니다. 이 정보를 사용해서 문제를 해결할 수 있습니다. 예를 들어 다음 개별 제약조건을 사용할 수 있습니다.

• 각 네임스페이스에 라벨이 최소 하나 이상 있어야 합니다. 예를 들어 이 제약조건은 GKE 사용량 측정을 사용할 때 리소스 소비를 정확하게 추적하는 데 사용될 수 있습니다.
• 지정된 컨테이너 이미지를 가져올 저장소를 제한합니다. 이 제약조건은 알 수 없는 소스에서 컨테이너를 가져오는 시도가 거부되도록 하여 클러스터가 잠재적으로 악성 소프트웨어를 실행하지 않도록 보호합니다.
• 컨테이너를 권한이 있는 모드에서 실행할 수 있는지 여부를 제어합니다. 이 제약조건은 모든 컨테이너에서 권한이 있는 모드를 사용 설정하는 기능을 제어하여, 제한되지 않은 정책으로 실행할 수 있는 컨테이너(있는 경우)를 제어할 수 있게 해줍니다.

이는 정책 컨트롤러에 포함된 제약조건 템플릿 라이브러리에 제공되는 제약조건 중 일부에 불과합니다. 이 라이브러리에는 권장사항을 시행하고 위험을 제한하는 데 사용할 수 있는 많은 정책이 포함되어 있습니다. 제약조건 템플릿 라이브러리에서 제공하는 것 이상의 맞춤설정이 필요한 경우 커스텀 제약조건 템플릿을 만들 수도 있습니다.

Kubernetes API를 사용하여 클러스터에 직접 제약조건을 적용하거나 구성 동기화를 사용하여 정보 소스로부터 클러스터 집합에 제약조건을 배포할 수 있습니다/

다음 단계

• 무료로 정책 컨트롤러 사용해 보기
• 정책 컨트롤러 설치
• 정책 번들 알아보기
• 정책 번들 적용