政策控制器概览

此页面描述了政策控制器,它是 Kubernetes 动态准入控制器,可检查、审核并强制您的集群遵守与安全性、法规或任意业务规则相关的政策。

政策控制器强制集群遵循称为限制条件的政策。例如:

  • 您可以要求每个命名空间至少具有一个标签。例如,如果您使用 GKE 用量计量,则这是必需的。
  • 您可以强制执行与 PodSecurityPolicies 相同的许多要求,但是需要具有在强制执行之前对其进行审核的附加功能。错误的 PodSecurityPolicy 可能会破坏工作负载。使用政策控制器,您可以在实施限制条件之前对其进行测试,并验证给定的政策是否按预期工作,而不会造成中断工作负载的风险。
  • 您可以限制从中提取给定容器映像的代码库。请参阅 Gatekeeper 图书馆计划代码库的 allowedrepos 目录中的示例。

除限制条件外,政策控制器还引入了限制条件模板。限制条件模板允许您定义限制条件的工作方式,但可以将定义限制条件的细节委托给具有主题专业知识的个人或组。除了分离关注点之外,这还将限制条件的逻辑与其定义分离。

政策控制器已集成到 Anthos Config Management v1.1 和更高版本中。政策控制器是从 Gatekeeper 开源项目构建的。

后续步骤