Visão geral do Policy Controller

O controlador de política do Anthos Config Management é um controlador de admissão dinâmica do Kubernetes que verifica, audita e impõe a conformidade dos clusters com políticas relacionadas a segurança, regulamentações ou regras de negócios arbitrárias.

Restrições

O Policy Controller reforça a conformidade de seus clusters com políticas chamadas restrições. Por exemplo, você pode criar as seguintes restrições:

  • Exigir que cada namespace tenha pelo menos um rótulo. Isso é necessário se você usar a Medição de uso do GKE, por exemplo.
  • Você pode impor muitos dos mesmos requisitos que PodSecurityPolicies, mas com a capacidade adicional de auditar sua configuração antes de aplicá-la. Um PodSecurityPolicy incorreto pode interromper as cargas de trabalho. O Policy Controller permite testar restrições antes de aplicá-las e verificar se uma determinada política funciona conforme o esperado, sem o risco de interromper suas cargas de trabalho.
  • Restringir os repositórios de que uma determinada imagem de contêiner pode ser extraída. Por exemplo, consulte o diretório allowedrepos no repositório do projeto da biblioteca do NATkeeper.

Para saber mais, consulte Como criar restrições.

Junto às restrições, o Policy Controller também apresenta modelos de restrição. Os modelos de restrição permitem definir como uma restrição funciona, mas delegar a definição das especificidades da restrição a um indivíduo ou grupo com experiência no assunto. Além de separar questões, os modelos de restrição também separam a lógica da restrição da definição.

O Policy Controller está integrado ao Anthos Config Management v1.1 e superior. O Policy Controller é construído a partir do projeto de código aberto Gatekeeper.

A seguir