정책 관리자 개요

Anthos Config Management의 Policy Controller를 사용하면 클러스터에 대해 완전히 프로그래밍 가능한 정책을 적용할 수 있습니다. 이러한 정책은 '가드레일' 역할을 하며 Kubernetes API 구성 변경으로 인해 보안, 운영, 규정 준수 제어를 위반하는 것을 방지합니다.

정책을 사용하여 규정을 준수하지 않는 API 요청을 적극적으로 차단하거나 클러스터 구성을 감사하고 위반사항을 신고할 수 있습니다. Policy Controller는 오픈소스 Open Policy Agent Gatekeeper 프로젝트를 기반으로 하며 공통 보안 및 규정 준수 제어를 위해 사전 구축된 정책의 전체 라이브러리와 함께 제공됩니다.

Kubernetes 환경을 적극적으로 제어하는 것 외에 배포 전에 규정 준수 구성을 분석하는 수단으로 Policy Controller를 선택적으로 사용할 수도 있습니다. 이를 통해 구성 변경 프로세스 중에 유용한 의견을 얻을 수 있고, 적용되는 동안 거부되기 전에 호환되지 않는 변경사항이 조기에 감지될 수 있습니다.

제약조건

정책 컨트롤러는 제약조건이라는 객체를 사용하여 클러스터의 규정 준수를 시행합니다. 예를 들어 다음 제약조건을 사용할 수 있습니다.

이는 정책 컨트롤러 설치에 포함된 제약조건 라이브러리의 일부로 제공되는 몇 가지 제약조건입니다. 이 라이브러리에는 권장사항을 시행하고 위험을 제한하는 데 도움이 되는 수많은 정책이 포함되어 있습니다.

Kubernetes API를 사용하여 제약조건을 직접 클러스터에 적용하거나 구성 동기화를 사용하여 중앙 Git 저장소의 클러스터 집합에 배포할 수 있습니다.

자세한 내용은 제약조건 작성을 참조하세요.

제약조건 템플릿

또한 정책 컨트롤러를 사용하면 제약조건 템플릿을 만들어서 고유한 커스텀 정책을 추가할 수 있습니다. 제약조건 템플릿은 정책 매개변수, 오류 메시지, 커스텀 로직을 정의합니다.

생성된 템플릿을 사용하면 모든 사용자가 제약조건을 통해 정책을 호출할 수 있습니다. 제약조건은 매개변수를 설정하고 정책이 적용되는 리소스와 네임스페이스의 범위를 정의합니다. 이렇게 분리하면 주제 전문가가 정책을 한 번 작성한 다음 다른 사용자가 정책 코드를 작성하거나 관리할 필요 없이 다양한 맥락에서 정책을 사용할 수 있습니다.

다음 단계