複数の Policy Controller バンドルを適用する
このページでは、Policy Controller のバンドルを有効にする方法について説明します。
ポリシー バンドルの適用と使用の詳細については、左側のナビゲーション メニューを使用して適用するバンドルの手順をご覧ください。ポリシー バンドルの詳細については、Policy Controller のバンドルの概要をご覧ください。
Google Cloud コンソールを使用して Policy Controller をインストールした場合、Policy Essentials バンドルはデフォルトでインストールされますが、さらに多くのバンドルを有効にすることもできます。
始める前に
ポリシー バンドルを適用する
コンソール
Google Cloud コンソールを使用してクラスタに 1 つ以上のポリシー バンドルを適用するには、次の手順を完了します。
- Google Cloud コンソールで、[体制の管理] セクションの GKE Enterprise [ポリシー] ページに移動します。
[設定] タブのクラスタ テーブルで、[構成を編集] 列にある [編集] edit を選択します。
[ポリシー バンドルを追加 / 編集] メニューで、テンプレート ライブラリがオンになっていることを確認します。
すべてのポリシー バンドルを有効にするには、[すべてのポリシー バンドルを追加] をオン check_circle に切り替えます。
個々のポリシー バンドルを有効にするには、有効にする各ポリシー バンドルをオンにします。
省略可: 名前空間の適用を除外するには、[詳細設定を表示] メニューを開きます。[名前空間の除外] フィールドに、有効な名前空間のリストを入力します。
除外可能な名前空間を追加する方法については、Policy Controller から名前空間を除外するをご覧ください。
[Save Changes] を選択します。
ポリシー カバレッジと違反に関する追加情報は、Policy Controller ダッシュボードを使用して表示できます。
gcloud
ポリシー バンドルを適用するには、次の手順を行います。
適用するバンドルで参照制約を使用する場合は、参照制約のサポートを有効にする必要があります。
gcloud alpha container hub policycontroller update --referential-rulesバンドルが参照制約のサポートを必要とするかどうかを確認するには、ポリシー バンドルの概要をご覧ください。
インストールするバンドルごとに、次のコマンドを実行します。
gcloud alpha container hub policycontroller content bundles set BUNDLE_NAMEBUNDLE_NAMEは、インストールするバンドルの名前に置き換えます。名前はバンドル接頭辞です(例:cis-k8s-v1.5.1)。名前のリストについては、ポリシー バンドルの概要をご覧ください。省略可: 名前空間の適用を除外するには、次のコマンドを実行します。
gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME \ --exempted-namespaces=NAMESPACESNAMESPACESは、適用しない名前空間のカンマ区切りのリスト(kube-system,gatekeeper-systemなど)に置き換えます。除外可能な名前空間を追加する方法については、Policy Controller から名前空間を除外するをご覧ください。
バンドルを削除するには、次のコマンドを実行します。
gcloud alpha container hub policycontroller content bundles remove BUNDLE_NAME
次のステップ
- Policy Controller の無料トライアルを試す。
- 個別の制約の適用について学ぶ。
- CI / CD パイプラインでポリシー バンドルを使用してシフトレフトするためのチュートリアルを利用する。