Instalar manualmente o Policy Controller com o kubectl
As instruções a seguir mostram como instalar o Policy Controller usando
comandos kubectl
. Se você quiser usar o Console do Google Cloud ou a
Google Cloud CLI, consulte Instalar o Policy Controller.
Se você configurar o Policy Controller usando os comandos kubectl
descritos nesta
página, mais tarde poderá fazer alterações de configuração usando o Console do Google Cloud ou a
Google Cloud CLI. No entanto, ao fazer alterações de configuração usando o
console ou a CLI gcloud, não é possível voltar a
usar comandos kubectl
para alterações de configuração.
Por padrão, o Policy Controller instala uma biblioteca de modelos de restrição para tipos de política comuns. Para pular a instalação dos modelos de restrição,
remova a marca de comentário da linha que começa com templateLibraryInstalled
no manifesto.
Prepare a configuração criando um novo arquivo
config-management.yaml
ou atualizando um arquivo existente.Copie o seguinte arquivo YAML em seu arquivo
config-management.yaml
:# config-management.yaml apiVersion: configmanagement.gke.io/v1 kind: ConfigManagement metadata: name: config-management spec: # Set to true to install and enable Policy Controller policyController: enabled: true # Uncomment to prevent the template library from being installed # templateLibraryInstalled: false # Uncomment to enable support for referential constraints # referentialRulesEnabled: true # Uncomment to disable audit, adjust value to set audit interval # auditIntervalSeconds: 0 # Uncomment to log all denies and dryrun failures # logDeniesEnabled: true # Uncomment to exempt namespaces # exemptableNamespaces: ["namespace-name"] # ...other fields...
Adicione um campo
spec.policyController
e defina o valor deenabled
comotrue
. É possível ativar outros recursos do Policy Controller. Entretanto, o suporte para restrições referenciais está desativado por padrão. Antes de ativá-lo, familiarize-se com as advertências sobre consistência posterior.Aplique a configuração usando
kubectl apply
:kubectl apply -f config-management.yaml
Como verificar o Policy Controller
Se o Policy Controller foi instalado corretamente, o pod está em execução. O pod pode ser reiniciado várias vezes antes de estar disponível.
Como o pod do Policy Controller é executado no namespace gatekeeper-system
,
é possível visualizar o status dele executando o seguinte comando:
kubectl get pods -n gatekeeper-system
O resultado será semelhante a:
NAME READY STATUS RESTARTS AGE gatekeeper-controller-manager-0 1/1 Running 1 53s
Desinstalar o Policy Controller
Para desinstalar o Policy Controller, edite a configuração do Anthos Config Management
no seu arquivo config-management.yaml
e defina
policyController.enabled
como false
. Depois que o Anthos Config Management remover
o finalizador policycontroller.configmanagement.gke.io
, a desinstalação será
concluída.
Se você quiser desinstalar totalmente o Anthos Config Management, consulte Como remover o Config Management Operator.