Anthos Config Management 的 Policy Controller 是一个 Kubernetes 动态准入控制器,用于检查、审核并强制您的集群遵守与安全性、法规或任意业务规则相关的政策。
限制条件
政策控制器强制集群遵循称为限制条件的政策。例如,您可以创建以下限制条件:
- 要求每个命名空间至少有一个标签。例如,如果使用 GKE Usage Metering,此限制条件是必须的。
- 强制执行与 PodSecurityPolicy 相同的许多要求,但是需要具有在强制执行之前对其进行审核的附加功能。错误的 PodSecurityPolicy 可能会破坏工作负载。使用 Policy Controller,您可以在实施限制条件之前对其进行测试,并验证给定的政策是否按预期工作,而不会造成中断工作负载的风险。
- 限制可以从中提取给定容器映像的代码库。如需查看示例,请参阅 Gatekeeper 图书馆计划代码库中的
allowedrepos目录。
如需了解详情,请参阅创建限制条件。
除限制条件外,政策控制器还引入了限制条件模板。借助限制条件模板,您可以定义限制条件的工作原理,但可以将定义限制条件的细节委托给具有主题专业知识的个人或群组。除了分离关注点之外,限制条件模板还会将限制条件的逻辑与其定义分离。
政策控制器已集成到 Anthos Config Management v1.1 和更高版本中。政策控制器是从 Gatekeeper 开源项目构建的。
后续步骤
- 了解如何安装 Policy Controller。
- 使用 Google 提供的限制条件模板库。
- 了解如何使用限制条件代替 PodSecurityPolicies。