Utilizzo della libreria dei modelli di vincolo

Questa pagina mostra come definire I vincoli di Policy Controller utilizzando i modelli di vincoli preesistenti forniti da Google.

Policy Controller consente di applicare i criteri per un cluster Kubernetes la definizione di uno o più oggetti vincolo. Dopo aver installato un vincolo, al server API le richieste vengono verificate in base al vincolo e vengono rifiutate se non sono conformi. Le risorse preesistenti non conformi sono riportate su tempo di controllo.

Ogni vincolo è supportato da un modello che definisce lo schema e della logica del vincolo. I modelli di vincolo possono essere acquisiti da Google o scriverne uno tuo. Per ulteriori informazioni sulla creazione di nuovi modelli, consulta Scrivi un modello di vincolo.

Prima di iniziare

esamina la libreria dei modelli di vincolo

Quando definisci un vincolo, devi specificare il relativo modello che estende. Una libreria di modelli di vincoli comuni sviluppati da Google installato per impostazione predefinita e molte organizzazioni non hanno bisogno di creare di vincoli direttamente in Rego. Modelli di vincolo forniti da Google hanno l'etichetta configmanagement.gke.io/configmanagement.

Per elencare i vincoli, utilizza il comando seguente:

kubectl get constrainttemplates \
    -l="configmanagement.gke.io/configmanagement=config-management"

Per descrivere un modello di vincolo e verificare i parametri richiesti, utilizza la classe seguente comando:

kubectl describe constrainttemplate CONSTRAINT_TEMPLATE_NAME

Puoi inoltre visualizzare tutti i modelli di vincolo nella libreria.

Definisci un vincolo

Definisci un vincolo utilizzando YAML e non hai bisogno di capire o scrivere Rego. Un vincolo richiama un modello di vincolo e gli fornisce parametri specifici del vincolo.

Se utilizzi Config Sync con un repository gerarchico, ti consigliamo di creare i vincoli nella directory cluster/.

I vincoli includono i seguenti campi:

  • Il kind in minuscolo corrisponde al nome di un modello di vincolo.
  • metadata.name è il nome del vincolo.
  • Il campo match definisce a quali oggetti si applica il vincolo. Tutte le condizioni specificato deve corrispondere prima che un oggetto rientri nell'ambito di un vincolo. match sono definite dai seguenti sottocampi:
    • kinds sono i tipi di risorse a cui si applica il vincolo, determinato da due campi: apiGroups è un elenco di gruppi di API Kubernetes e kinds è un elenco di tipi corrispondenti. "*" corrisponde a tutto. Se almeno una voce apiGroup e una voce kind corrispondono, la condizione kinds è soddisfatto.
    • scope accetta *, Cluster o con pacing dei nomi, che determina se l'ambito del cluster è impostato su un cluster o con ambito con spazio dei nomi (il valore predefinito è *).
    • namespaces è un elenco di nomi di spazi dei nomi a cui l'oggetto può appartenere. L'oggetto devono appartenere ad almeno uno di questi spazi dei nomi. Le risorse dello spazio dei nomi trattati come se appartenessero a sé stessi.
    • excludedNamespaces è un elenco di spazi dei nomi a cui l'oggetto non può appartenere.
    • labelSelector è un selettore di etichette Kubernetes che l'oggetto deve soddisfare.
    • namespaceSelector è un selettore di etichette nello spazio dei nomi a cui appartiene l'oggetto. Se lo spazio dei nomi non soddisfa l'oggetto, non corrisponderà. Spazio dei nomi le risorse sono trattate come se appartenessero a sé stesse.
  • Il campo parameters definisce gli argomenti del vincolo, in base a cosa previsto dal modello di vincolo.

Il seguente vincolo, denominato ns-must-have-geo, richiama un modello di vincolo denominato K8sRequiredLabels, incluso nel libreria di modelli di vincolo forniti da Google. Il vincolo definisce i parametri a cui si riferisce utilizzato dal modello per valutare se gli spazi dei nomi hanno l'etichetta geo impostata su una valore.

# ns-must-have-geo.yaml

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sRequiredLabels
metadata:
  name: ns-must-have-geo
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Namespace"]
  parameters:
    labels:
      - key: "geo"

Per creare il vincolo, utilizza kubectl apply -f:

kubectl apply -f ns-must-have-geo.yaml

Controlla un vincolo

Se il vincolo è configurato e installato correttamente, Il campo status.byPod[].enforced è impostato su true, se il vincolo è configurato per l'applicazione forzata o solo per testare il vincolo.

I vincoli vengono applicati per impostazione predefinita e la violazione di un vincolo impedisce di una determinata operazione cluster. Puoi impostare il valore spec.enforcementAction di un vincolo a dryrun per segnalare violazioni nel campo status.violations senza che impediscono l'operazione.

Per scoprire di più sul controllo, consulta Esegui controlli con vincoli.

Avvertenze per la sincronizzazione dei vincoli

Se sincronizzi i vincoli con un'origine centralizzata, ad esempio un repository Git, con Config Sync o un altro strumento stile GitOps, tieni a mente le seguenti avvertenze durante la sincronizzazione i vincoli.

Coerenza finale

Puoi eseguire il commit dei vincoli su una fonte attendibile come un repository Git limitarne gli effetti usando ClusterSelectors o NamespaceSelectors: Poiché la sincronizzazione è alla fine coerente, tieni presente quanto segue:

  • Se un'operazione su un cluster attiva un vincolo a cui NamespaceSelector si riferisce a uno spazio dei nomi che non è stato sincronizzato, il vincolo viene applicato dell'utente. In altre parole, uno spazio dei nomi mancante "non è riuscito".
  • Se modifichi le etichette di uno spazio dei nomi, la cache potrebbe contenere dati obsoleti per un breve periodo di tempo.

Riduci al minimo la necessità di rinominare uno spazio dei nomi o modificarne le etichette ed eseguire test vincoli che influiscono su uno spazio dei nomi rinominato o rietichettato per garantire che funzionino come previsto.

Configura Policy Controller per i vincoli di riferimento

Prima di poter abilitare i vincoli referenziali, devi creare un che indichi a Policy Controller quali tipi di oggetti monitorare, come spazi dei nomi.

Salva il seguente manifest YAML in un file e applicalo con kubectl. La il manifest configura Policy Controller per il controllo degli spazi dei nomi e delle risorse Ingress. Crea una voce con group, version e kind in spec.sync.syncOnly, con i valori per ogni tipo di oggetto che vuoi controllare.

apiVersion: config.gatekeeper.sh/v1alpha1
kind: Config
metadata:
  name: config
  namespace: "gatekeeper-system"
spec:
  sync:
    syncOnly:
      - group: ""
        version: "v1"
        kind: "Namespace"
      - group: "extensions"
        version: "v1beta1"
        kind: "Ingress"

Abilita i vincoli referenziali

Un vincolo referenziale fa riferimento a un altro oggetto nella sua definizione. Per Ad esempio, potresti creare un vincolo che richiede oggetti Ingress in un in un cluster con nomi host univoci. Il vincolo è referenziale se si riferisce modello contiene la stringa data.inventory nel relativo repository.

I vincoli referenziali sono abilitati per impostazione predefinita se installi Policy Controller utilizzando la console Google Cloud. Se installi Policy Controller utilizzando in Google Cloud CLI, puoi scegliere se abilitare i vincoli referenziali quando Installa Policy Controller. La coerenza finale dei vincoli referenziali è garantita solo ciò comporta dei rischi:

  • Su un server API sovraccarico, i contenuti della cache di Policy Controller possono diventare obsoleti, causando il "fail open" per un vincolo referenziale, ovvero che il provvedimento sembra funzionare quando non è così. Ad esempio: puoi creare risorse Ingress con nomi host duplicati troppo rapidamente per consentire di ammissione per rilevare i duplicati.

  • L'ordine di installazione dei vincoli e l'ordine di installazione della cache vengono aggiornati entrambi sono casuali.

Puoi aggiornare un cluster esistente per consentire i vincoli referenziali.

Console

Per disabilitare i vincoli referenziali, completa la seguenti passaggi:

  1. Nella console Google Cloud, vai alla pagina Criteri di GKE Enterprise nella sezione Gestione della postura.

    Vai al criterio

  2. Nella tabella dei cluster della scheda Impostazioni, seleziona Modifica. nella colonna Modifica configurazione.
  3. Espandi il menu Modifica configurazione di Policy Controller.
  4. Seleziona la casella di controllo Abilita modelli di vincolo che fanno riferimento a oggetti diversi da l'oggetto attualmente valutato.
  5. Seleziona Salva modifiche.

gcloud Policy Controller

Per abilitare il supporto dei vincoli referenziali, esegui questo comando:

gcloud container fleet policycontroller update \
    --memberships=MEMBERSHIP_NAME \
    --referential-rules

Sostituisci MEMBERSHIP_NAME con il nome membro di il cluster registrato per abilitare le regole referenziali. Puoi specificare più separate da una virgola.

gcloud ConfigManagement

Per abilitare il supporto dei vincoli referenziali, imposta la classe Da policyController.referentialRulesEnabled a true nel tuo File config-management.yaml:

apiVersion: configmanagement.gke.io/v1
kind: ConfigManagement
metadata:
  name: config-management
  namespace: config-management-system
spec:
  clusterName: my-cluster
  channel: dev
  policyController:
    enabled: true
    referentialRulesEnabled: true

Disabilita i vincoli referenziali

Quando disabiliti i vincoli referenziali, qualsiasi modello che utilizza vengono rimossi dal cluster, insieme a tutti i vincoli per utilizzare questi modelli.

Console

I vincoli referenziali sono abilitati per impostazione predefinita quando installi Policy Controller con la console Google Cloud. Per disabilitare i vincoli referenziali, completa la seguenti passaggi:

  1. Nella console Google Cloud, vai alla pagina Criteri di GKE Enterprise nella sezione Gestione della postura.

    Vai al criterio

  2. Nella tabella dei cluster della scheda Impostazioni, seleziona Modifica. nella colonna Modifica configurazione.
  3. Espandi il menu Modifica configurazione di Policy Controller.
  4. Deseleziona Abilita modelli di vincolo che fanno riferimento a oggetti diversi da l'oggetto attualmente valutato.
  5. Seleziona Salva modifiche.

gcloud Policy Controller

Per disabilitare il supporto dei vincoli referenziali, esegui questo comando:

gcloud container fleet policycontroller update \
    --memberships=MEMBERSHIP_NAME \
    --no-referential-rules

Sostituisci MEMBERSHIP_NAME con il nome membro di il cluster registrato per abilitare le regole referenziali. Puoi specificare più separate da una virgola.

gcloud ConfigManagement

Per disabilitare i vincoli referenziali su un cluster, imposta Da policyController.referentialRulesEnabled a false nel tuo File config-management.yaml:

apiVersion: configmanagement.gke.io/v1
kind: ConfigManagement
metadata:
  name: config-management
  namespace: config-management-system
spec:
  clusterName: my-cluster
  channel: dev
  policyController:
    enabled: true
    referentialRulesEnabled: false

Elenco di tutti i vincoli

Per elencare tutti i vincoli installati su un cluster, utilizza il comando seguente:

kubectl get constraint

Puoi anche visualizzare una panoramica dei vincoli applicati nella console Google Cloud. Per maggiori informazioni, consulta le metriche di Policy Controller.

Rimuovi un vincolo

Per trovare tutti i vincoli che utilizzano un modello di vincolo, usa quanto segue per elencare tutti gli oggetti con lo stesso kind del modello di vincolo metadata.name:

kubectl get CONSTRAINT_TEMPLATE_NAME

Per rimuovere un vincolo, specifica i relativi kind e name:

kubectl delete CONSTRAINT_TEMPLATE_NAME CONSTRAINT_NAME

Quando rimuovi un vincolo, questo cessa di essere applicato non appena il server API contrassegna il vincolo come eliminato.

Rimuovi tutti i modelli di vincolo

Console

Per disabilitare la libreria dei modelli di vincolo, completa i seguenti passaggi:

  1. Nella console Google Cloud, vai alla pagina Criteri di GKE Enterprise nella sezione Gestione della postura.

    Vai al criterio

  2. Nella tabella dei cluster della scheda Impostazioni, seleziona Modifica. nella colonna Modifica configurazione.
  3. Nel menu Aggiungi/Modifica pacchetti di criteri, attiva/disattiva la raccolta dei modelli e tutti i pacchetti di criteri disponibili in .
  4. Seleziona Salva modifiche.

gcloud Policy Controller

Per disabilitare la libreria dei modelli di vincolo, esegui questo comando:

gcloud container fleet policycontroller content templates disable \
    --memberships=MEMBERSHIP_NAME

Sostituisci MEMBERSHIP_NAME con il nome membro di il cluster registrato per disabilitare la libreria dei modelli di vincolo. Puoi specificare più appartenenze separate da una virgola.

gcloud ConfigManagement

Imposta spec.policyController.templateLibraryInstalled su false. In questo modo che reinstalli automaticamente la libreria da parte di Policy Controller.

Per rimuovere tutti i modelli e tutti i vincoli, usa quanto segue :

kubectl delete constrainttemplate --all

Ripristina la libreria dei modelli di vincolo

Console

Per abilitare la libreria dei modelli di vincolo, completa i seguenti passaggi:

  1. Nella console Google Cloud, vai alla pagina Criteri di GKE Enterprise nella sezione Gestione della postura.

    Vai al criterio

  2. Nella tabella dei cluster della scheda Impostazioni, seleziona Modifica. nella colonna Modifica configurazione.
  3. Nel menu Aggiungi/Modifica pacchetti di criteri, attiva la raccolta dei modelli. . Puoi anche attivare una o tutte le opzioni dei pacchetti di criteri.
  4. Seleziona Salva modifiche.

gcloud Policy Controller

Per ripristinare la libreria dei modelli di vincolo, esegui questo comando:

gcloud container fleet policycontroller content templates enable \
    --memberships=MEMBERSHIP_NAME

Sostituisci MEMBERSHIP_NAME con il nome membro di il cluster registrato per abilitare la libreria dei modelli di vincolo. Puoi specificare più appartenenze separate da una virgola.

gcloud ConfigManagement

Se hai disabilitato la libreria dei modelli di vincolo o hai disinstallato tutti i vincoli di modelli, puoi ripristinarli impostando Da spec.policyController.templateLibraryInstalled a true nel Configurazione di Policy Controller.

Per riavviare l'Operator Pod, utilizza il comando seguente:

kubectl delete pod -n config-management-system -l k8s-app=config-management-operator

Passaggi successivi