Policy Controller 概览

Anthos Config Management 的 Policy Controller 可让您为集群强制执行完全可编程的政策。这些政策可作为一种“保障措施”,可防止对 Kubernetes API 配置的任何更改违反安全性、运营或合规性控制措施。

您可以设置政策主动屏蔽不符合政策的 API 请求,也可以仅审核集群的配置并报告违规行为。Policy Controller 基于开源的 Open Policy Agent Gatekeeper 项目,并附带一个预建政策的完整库,用于常见安全性与合规性控制。

除了主动控制 Kubernetes 环境之外,您还可以选择使用政策控制器来在部署之前分析合规性配置。这有助于在配置更改过程中提供有价值的反馈,并确保尽早发现任何不符合规定的更改,以免它们在申请过程中遭到拒绝。

限制条件

政策控制器使用称为限制条件的对象来实施集群的合规性。例如,您可以使用以下限制条件:

这些只是作为安装在政策控制器中的限制条件库提供的一部分限制条件。此库包含许多政策,有助于强制执行最佳做法并限制风险。

您可以使用 Kubernetes API 将限制条件直接应用于集群,也可以使用 Config Sync 将请求从中央 Git 代码库分发到一组集群。

如需了解详情,请参阅创建限制条件

限制条件模板

政策控制器还允许您通过创建限制条件模板添加自己的自定义政策。限制条件模板定义政策参数、错误消息和自定义逻辑。

创建后,这些模板可让任何人使用限制条件调用政策,该限制条件会设置参数并定义政策适用的资源和命名空间的范围。这种分离可让主题专家编写一次政策,然后让其他人在各种情况下使用它们,而无需编写或管理政策代码。

后续步骤