政策控制器概览

此页面描述了政策控制器，它是 Kubernetes 动态准入控制器，可检查、审核并强制您的集群遵守与安全性、法规或任意业务规则相关的政策。

政策控制器强制集群遵循称为限制条件的政策。例如：

• 您可以要求每个命名空间至少具有一个标签。例如，如果您使用 GKE 用量计量，则这是必需的。
• 您可以强制执行与 PodSecurityPolicies 相同的许多要求，但是需要具有在强制执行之前对其进行审核的附加功能。错误的 PodSecurityPolicy 可能会破坏工作负载。使用政策控制器，您可以在实施限制条件之前对其进行测试，并验证给定的政策是否按预期工作，而不会造成中断工作负载的风险。
• 您可以限制从中提取给定容器映像的代码库。请参阅 Gatekeeper 图书馆计划代码库的 allowedrepos 目录中的示例。

除限制条件外，政策控制器还引入了限制条件模板。限制条件模板允许您定义限制条件的工作方式，但可以将定义限制条件的细节委托给具有主题专业知识的个人或组。除了分离关注点之外，这还将限制条件的逻辑与其定义分离。

政策控制器已集成到 Anthos Config Management v1.1 和更高版本中。政策控制器是从 Gatekeeper 开源项目构建的。

后续步骤

• 安装政策控制器。
• 创建限制条件。
• 使用 Google 提供的限制条件模板库。
• 了解如何使用限制条件代替 PodSecurityPolicies。