Mehrere Policy Controller-Bundles anwenden

Auf dieser Seite wird erläutert, wie Policy Controller-Bundles aktiviert werden.

Ausführlichere Informationen zum Anwenden und Verwenden von Richtlinien-Bundles finden Sie in der Anleitung für das gewünschte Bundle im linken Navigationsmenü. Weitere Informationen zu Richtlinien-Bundles finden Sie in der Übersicht zu Policy Controller-Bundles.

Wenn Sie Policy Controller über die Google Cloud Console installiert haben, ist das Policy Essentials-Bundle standardmäßig installiert. Sie können jedoch weitere Bundles aktivieren.

Hinweise

Policy Controller installieren

Richtlinien-Bundles anwenden

Console

So wenden Sie mit der Google Cloud Console ein oder mehrere Richtlinien-Bundles auf einen Cluster an:

Rufen Sie in der Google Cloud Console im Abschnitt Posture Management (Verwaltung des Sicherheitsstatus) die Seite GKE Enterprise-Richtlinie auf.

Zur Richtlinie
Wählen Sie in der Clustertabelle auf dem Tab Einstellungen in der Spalte Konfiguration bearbeiten die Option Bearbeiten aus.
Im Menü Richtlinien-Bundles hinzufügen/bearbeiten muss die Vorlagenbibliothek aktiviert sein.
Wenn Sie alle Richtlinien-Bundles aktivieren möchten, aktivieren Sie die Option Alle Richtlinien-Bundles hinzufügen auf .
Wenn Sie einzelne Richtlinien-Bundles aktivieren möchten, aktivieren Sie die einzelnen Richtlinien-Bundles.
Optional: Maximieren Sie das Menü Erweiterte Einstellungen anzeigen, um einen Namespace von der Erzwingung auszuschließen. Geben Sie im Feld Ausgenommene Namespaces eine Liste gültiger Namespaces an.

Weitere Informationen zum Hinzufügen ausnahmefähiger Namespaces finden Sie unter Namespaces aus Policy Controller ausschließen.
Wählen Sie Änderungen speichern aus.

Weitere Informationen zur Abdeckung Ihrer Richtlinien und zu Verstößen finden Sie im Policy Controller-Dashboard.

gcloud

Führen Sie die folgenden Schritte aus, um ein Richtlinien-Bundle anzuwenden:

Wenn eines der Sets, die Sie anwenden, referenzielle Einschränkungen verwendet, müssen Sie die Unterstützung für referenzielle Einschränkungen aktivieren:
```
gcloud alpha container hub policycontroller update --referential-rules
```
In der Übersicht über Richtlinien-Bundles können Sie prüfen, ob ein Bundle Unterstützung für referenzielle Einschränkungen erfordert.
Führen Sie für jedes Bundle, das Sie installieren möchten, den folgenden Befehl aus:
```
gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME
```
Ersetzen Sie BUNDLE_NAME durch den Namen des Bundles, das Sie installieren möchten. Der Name ist das Bundle-Präfix, z. B. cis-k8s-v1.5.1. Eine Liste der Namen finden Sie in der Übersicht über Richtlinien-Bundles.
Optional: Führen Sie den folgenden Befehl aus, um einen Namespace von der Erzwingung auszuschließen:
```
gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME \
  --exempted-namespaces=NAMESPACES
```
Ersetzen Sie NAMESPACES durch eine durch Kommas getrennte Liste von Namespaces, die nicht erzwungen werden sollen, z. B. kube-system,gatekeeper-system.

Weitere Informationen zum Hinzufügen ausnahmefähiger Namespaces finden Sie unter Namespaces aus Policy Controller ausschließen.

Führen Sie den folgenden Befehl aus, um ein Bundle zu entfernen:

gcloud alpha container hub policycontroller content bundles remove BUNDLE_NAME

Nächste Schritte

Policy Controller kostenlos testen
Weitere Informationen zum Anwenden einzelner Einschränkungen
Sehen Sie sich dazu eine Anleitung zur Verwendung von Richtlinien-Bundles in Ihrer CI/CD-Pipeline zum Verschieben nach links an.