Policy Controller installieren

Auf dieser Seite erfahren Sie, wie Sie Policy Controller installieren. Policy Controller prüft, überwacht und erzwingt die Einhaltung Ihres Clusters von Richtlinien in Bezug auf Sicherheit, Vorschriften oder Geschäftsregeln.

Policy Controller ist verfügbar, wenn Sie die Google Kubernetes Engine (GKE) Enterprise-Version verwenden. Weitere Informationen finden Sie unter Preise für die Google Kubernetes Engine (GKE) Enterprise-Version. Sie können einen Bericht erstellen, um Policy Controller auszuprobieren, bevor Sie es kostenlos installieren.

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

  1. Installieren und initialisieren Sie das Google Cloud CLI, das die in dieser Anleitung verwendeten Befehle gcloud, gsutil, kubectl und nomos enthält. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit gcloud components update ab. Wenn Sie Cloud Shell verwenden, ist die Google Cloud CLI vorinstalliert.
  2. Achten Sie darauf, dass Open Policy Agent Gatekeeper nicht auf Ihrem Cluster installiert ist. Ist dies der Fall, deinstallieren Sie Gatekeeper, bevor Sie Policy Controller installieren.

  3. Aktivieren Sie die GKE Enterprise API.

    Aktivieren Sie die GKE Enterprise API

  4. Erstellen Sie einen Cluster, in dem eine Kubernetes-Version 1.14.x oder höher ausgeführt wird, oder sorgen Sie dafür, dass Sie auf einen solchen Cluster zugreifen können. Unter Umständen kann Policy Controller auch mit Kubernetes-Versionen vor 1.14.x ausgeführt werden. Das Produkt funktioniert dann aber nicht korrekt.

  5. Weisen Sie dem Nutzer die für die Registrierung des Clusters erforderlichen IAM-Rollen zu.

  6. Wenn Sie Policy Controller mit dem Google Cloud CLI konfigurieren möchten, registrieren Sie Ihren Cluster jetzt auf einer Flotte. Wenn Sie die Google Cloud Console nutzen, registrieren Sie Ihre Cluster bei der Installation von Policy Controller.

  7. Wenn Sie angehängte GKE-Cluster verwenden, darf das Azure Policy-Add-on in Ihrem AKS-Cluster nicht enthalten sein. Außerdem dürfen Namespaces nicht mit dem Schlüssel control-plane mit Labels versehen werden.

  8. Wenn Sie GKE on VMware oder Google Distributed Cloud Virtual for Bare Metal verwenden, müssen Sie Policy Controller in einem Nutzercluster installieren. Policy Controller kann nicht auf einem Administratorcluster installiert werden.

Policy Controller installieren

Ab Version 1.16.0 können Sie Policy Controller direkt (empfohlen) oder über das ConfigManagement-Objekt installieren und verwalten, wenn Sie die Google Cloud CLI verwenden.

Console

Führen Sie die folgenden Schritte aus, um Policy Controller in der Google Cloud Console zu installieren:

  1. Rufen Sie in der Google Cloud Console im Abschnitt Posture Management (Verwaltung des Sicherheitsstatus) die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

  2. Wählen Sie Policy Controller installieren aus.

  3. Wählen Sie im Bereich Policy Controller-Installation eine der folgenden Installationsoptionen aus:

    • So installieren Sie Policy Controller in allen Clustern in einer Flotte:

      1. Lassen Sie In meiner Flotte installieren ausgewählt.

        Wenn Sie in Ihrem Projekt keine Flotte haben, können Sie im nächsten Schritt eine Flotte erstellen.

      2. Wenn Sie noch keine Flotte haben, wählen Sie einen Namen für diese aus.

      3. Wählen Sie Policy Controller aktivieren aus.

    • So installieren Sie Policy Controller in einzelnen Clustern:

      1. Wählen Sie In einzelnen Clustern installieren aus.

      2. Wählen Sie in der Tabelle Verfügbare Cluster die Cluster aus, in denen Sie Policy Controller installieren möchten.

      3. Wählen Sie Policy Controller aktivieren aus.

Sie werden zum Tab Einstellungen von Policy Controller weitergeleitet. Wenn Policy Controller auf Ihren Clustern installiert und konfiguriert ist, wird in den Statusspalten Installiert angezeigt. Dies kann einige Minuten dauern.

gcloud Policy Controller

Aktivieren Sie Policy Controller mit dem folgenden Befehl:

gcloud container fleet policycontroller enable \
    --memberships=MEMBERSHIP_NAME

Sie können zusätzliche Felder festlegen, um Policy Controller zu konfigurieren. Beispielsweise können Sie Policy Controller anweisen, einige Namespaces von der Erzwingung auszuschließen. Eine vollständige Liste der Felder, die Sie konfigurieren können, finden Sie in der Dokumentation zu Policy Controller Google Cloud CLI oder führen Sie gcloud container fleet policycontroller enable --help aus.

gcloud ConfigManagement

  1. Bereiten Sie die Konfiguration vor, indem Sie entweder ein neues apply-spec.yaml-Manifest erstellen oder ein vorhandenes Manifest verwenden. Mit einem vorhandenen Manifest können Sie den Cluster mit denselben Einstellungen konfigurieren, die auch von einem anderen Cluster verwendet werden.

    Neues Manifest erstellen

    Um Policy Controller mit neuen Einstellungen für Ihren Cluster zu konfigurieren, erstellen Sie eine Datei mit dem Namen apply-spec.yaml und kopieren Sie in diese die folgende YAML-Datei:

    # apply-spec.yaml

applySpecVersion: 1
spec:
  policyController:
    # Set to true to install and enable Policy Controller
    enabled: true
    # Uncomment to prevent the template library from being installed
    # templateLibraryInstalled: false
    # Uncomment to enable support for referential constraints
    # referentialRulesEnabled: true
    # Uncomment to disable audit, adjust value to set audit interval
    # auditIntervalSeconds: 0
    # Uncomment to log all denies and dryrun failures
    # logDeniesEnabled: true
    # Uncomment to enable mutation
    # mutationEnabled: true
    # Uncomment to exempt namespaces
    # exemptableNamespaces: ["namespace-name"]
    # Uncomment to change the monitoring backends
    # monitoring:
    #     backends:
    #     - cloudmonitoring
    #     - prometheus
  # ...other fields...

    Sie müssen das Feld spec.policyController hinzufügen und den Wert von enabled auf true setzen. Sie können auch andere Policy Controller-Features aktivieren. Der Support für referenzielle Einschränkungen ist jedoch standardmäßig deaktiviert. Vor dem Aktivieren sollten Sie sich mit den Warnhinweisen zu Eventual Consistency vertraut machen.

    Vorhandenes Manifest verwenden

    Um den Cluster mit den Einstellungen zu konfigurieren, die von einem anderen Cluster verwendet werden, rufen Sie diese Einstellungen von einem registrierten Cluster ab.

    gcloud alpha container fleet config-management fetch-for-apply \
     --membership=MEMBERSHIP_NAME \
     --project=PROJECT_ID \
     > CONFIG_YAML_PATH

    Ersetzen Sie Folgendes:

    • MEMBERSHIP_NAME: Name der Mitgliedschaft des registrierten Clusters mit den Policy Controller-Einstellungen, die Sie verwenden möchten
    • PROJECT_ID: Ihre Projekt-ID
    • CONFIG_YAML_PATH: Pfad zur Datei apply-spec.yaml.

  2. Wenden Sie die Datei apply-spec.yaml an:

    gcloud beta container fleet config-management apply \
    --membership=MEMBERSHIP_NAME \
    --config=CONFIG_YAML \
    --project=PROJECT_ID

    Ersetzen Sie Folgendes:

    • MEMBERSHIP_NAME: der Mitgliedsname des registrierten Clusters mit den Policy Controller-Einstellungen, die Sie verwenden möchten.
    • CONFIG_YAML: Fügen Sie den Pfad zur Datei apply-spec.yaml hinzu.
    • PROJECT_ID: Fügen Sie Ihre Projekt-ID hinzu.

Der Pod wird erstellt und Policy Controller beginnt mit der Prüfung und Durchsetzung von Einschränkungen.

Installation des Policy Controllers prüfen

Nach der Installation von Policy Controller können Sie prüfen, ob diese erfolgreich abgeschlossen wurde.

Console

Gehen Sie folgendermaßen vor:

  1. Rufen Sie in der Google Cloud Console im Abschnitt Posture Management (Verwaltung des Sicherheitsstatus) die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

  2. Prüfen Sie in der Clustertabelle auf dem Tab Einstellungen die Spalte Policy Controller-Status. Eine erfolgreiche Installation hat den Status Installiert .

gcloud Policy Controller

Führen Sie dazu diesen Befehl aus:

gcloud container fleet policycontroller describe --memberships=MEMBERSHIP_NAME

Bei einer erfolgreichen Installation wird membershipStates: MEMBERSHIP_NAME: policycontroller: state: ACTIVE angezeigt.

gcloud ConfigManagement

Führen Sie dazu diesen Befehl aus:

gcloud beta container fleet config-management status \
    --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts.

Die Ausgabe sollte in etwa wie im folgenden Beispiel aussehen:

Name          Status  Last_Synced_Token  Sync_Branch  Last_Synced_Time      Policy_Controller
CLUSTER_NAME  SYNCED  a687c2c            1.0.0        2021-02-17T00:15:55Z  INSTALLED

Eine erfolgreiche Installation hat in der Spalte "Policy Controller" den Status INSTALLED.

Installation der Einschränkungsvorlagenbibliothek prüfen

Wenn Sie Policy Controller installieren, wird standardmäßig die Einschränkungsvorlagenbibliothek installiert. Die Installation kann einige Minuten dauern. Sie können überprüfen, ob die Vorlagenbibliothek erfolgreich abgeschlossen wurde.

Console

Gehen Sie folgendermaßen vor:

  1. Rufen Sie in der Google Cloud Console im Abschnitt Posture Management (Verwaltung des Sicherheitsstatus) die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

  2. Wählen Sie auf dem Tab Einstellungen in der Clustertabelle die Zahl aus, die in der Spalte Installierte Bundles aufgeführt ist. Im Bereich Status der Richtlinieninhalte hat eine erfolgreiche Installation der Vorlagenbibliothek den Status Installiert .

gcloud

Führen Sie dazu diesen Befehl aus:

kubectl get constrainttemplates

Die Ausgabe sollte in etwa wie im folgenden Beispiel aussehen:

NAME                                      AGE
k8sallowedrepos                           84s
k8scontainerlimits                        84s
k8spspallowprivilegeescalationcontainer   84s
...[OUTPUT TRUNCATED]...

Wenn eine Einschränkungsvorlage korrekt installiert ist, ist dessen status.created-Feld true.

Standardeinstellungen auf Flottenebene konfigurieren

Wenn Sie die Google Kubernetes Engine (GKE) Enterprise-Version aktiviert haben, können Sie Policy Controller als Standardeinstellung auf Flottenebene für Ihre Cluster aktivieren und konfigurieren. Dies bedeutet, dass Policy Controller für jeden neuen GKE-Cluster in Google Cloud, der während der Clustererstellung registriert wird, mit den von Ihnen angegebenen Einstellungen für den Cluster aktiviert ist. Weitere Informationen zur Standardkonfiguration für Flotten finden Sie unter Features auf Flottenebene verwalten.

Führen Sie die folgenden Schritte aus, um für Policy Controller Standardwerte auf Flottenebene zu konfigurieren:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Feature Manager auf.

    Zu Feature Manager

  2. Klicken Sie im Bereich Richtlinie auf Konfigurieren.

  3. Einstellungen auf Flottenebene überprüfen. Alle neuen Cluster, die Sie bei der Flotte registrieren, übernehmen diese Einstellungen.

  4. Optional: Klicken Sie zum Ändern der Standardeinstellungen auf Flotteneinstellungen anpassen. Führen Sie im angezeigten Dialogfeld die folgenden Schritte aus:

    1. Klicken Sie im Abschnitt Richtlinien-Bundles hinzufügen/bearbeiten auf die entsprechende Ein/Aus-Schaltfläche, um ein Richtlinien-Bundle ein- oder auszuschließen.
    2. Führen Sie im Abschnitt Policy Controller-Konfiguration bearbeiten die folgenden Schritte aus:
      1. Klicken Sie zum Aktivieren des Mutations-Webhooks das Kästchen Mutations-Webhook aktivieren an. Dieses Feature ist nicht mit Autopilot-Clustern kompatibel.
      2. Geben Sie im Feld Auditintervall den Zeitraum in Sekunden zwischen zwei aufeinanderfolgenden Audits ein.
      3. Geben Sie im Feld Ausgenommene Namespaces eine Liste von Namespaces ein. Policy Controller ignoriert Objekte in diesen Namespaces.
      4. Zum Aktivieren von referenziellen Einschränkungen klicken Sie das Kästchen Einschränkungsvorlagen aktivieren, die auf andere Objekte als das derzeit evaluierte verweisen an.
      5. Wählen Sie in der Liste Version die Policy Controller-Version aus, die Sie verwenden möchten.
    3. Klicken Sie auf Änderungen speichern.

  5. Klicken Sie auf Konfigurieren.

  6. Klicken Sie im Dialogfeld zur Bestätigung auf Bestätigen. Wenn Sie Policy Controller noch nicht aktiviert haben, wird durch Klicken auf Bestätigen die anthospolicycontroller.googleapis.com API aktiviert.

  7. Optional: Synchronisieren Sie vorhandene Cluster mit den Standardeinstellungen:

    1. Wählen Sie in der Liste Cluster in der Flotte die Cluster aus, die Sie synchronisieren möchten.
    2. Klicken Sie auf Mit Flotteneinstellungen synchronisieren und dann im angezeigten Bestätigungsdialogfeld auf Bestätigen. Dies kann einige Minuten dauern.

gcloud

  1. Erstellen Sie eine Datei mit dem Namen fleet-default.yaml, die die Standardkonfigurationen für Policy Controller enthält. Das Feld installSpec ist erforderlich, um Standardeinstellungen auf Flottenebene zu aktivieren. Dieses Beispiel zeigt die Optionen, die konfiguriert werden können:

    # cat fleet-default.yaml

 policyControllerHubConfig:
  installSpec: INSTALL_SPEC_ENABLED 
  # Uncomment to set default deployment-level configurations.
  # deploymentConfigs:
  #   admission:
  #     containerResources:
  #       limits:
  #        cpu: 1000m
  #         memory: 8Gi
  #       requests:
  #         cpu: 500m
  #         memory: 4Gi
  # Uncomment to set policy bundles that you want to install by default.
  # policyContent:
  #   bundles:
  #     cis-k8s-v1.5.1:
  #       exemptedNamespaces:
  #       - "namespace-name"
  # Uncomment to exempt namespaces from admission.
  # exemptableNamespaces:
  # - "namespace-name"
  # Uncomment to enable support for referential constraints
  # referentialRulesEnabled: true
  # Uncomment to disable audit, adjust value to set audit interval
  # auditIntervalSeconds: 0
  # Uncomment to log all denies and dryrun failures
  # logDeniesEnabled: true
  # Uncomment to enable mutation
  # mutationEnabled: true
  # Uncomment to adjust the value to set the constraint violation limit
  # constraintViolationLimit: 20
  # ... other fields ...

  2. Wenden Sie die Standardkonfiguration auf Ihre Flotte an:

    gcloud container fleet policycontroller enable \
  --fleet-default-member-config=fleet-default.yaml

  3. Prüfen Sie mit dem folgenden Befehl, ob die Konfiguration angewendet wurde:

    gcloud container fleet policycontroller describe

  4. Führen Sie den folgenden Befehl aus, um die Standardkonfiguration auf Flottenebene zu entfernen:

    gcloud container fleet policycontroller enable \
  --no-fleet-default-member-config

Policy Controller-Interaktionen mit Config Sync

Wenn Sie Policy Controller mit Config Sync verwenden, sollten Sie die folgenden Interaktionen mit Ressourcen kennen, die in Ihrer Source of Truth gespeichert sind und von Config Sync synchronisiert werden:

  • Sie können eine Einschränkungsvorlage nicht synchronisieren, wenn sie gleichzeitig Teil der Vorlagenbibliothek ist, es sei denn, die Einschränkungsvorlagenbibliothek ist deaktiviert.

  • Wenn Sie die im Namespace gatekeeper-system gespeicherte Ressource Config synchronisieren möchten, müssen Sie nur die Ressource Config in der „Source of Truth“ definieren. Der gatekeeper-system-Namespace darf nicht damit definiert werden.

Einschränkungsvorlagenbibliothek verwalten

Informationen zum Deinstallieren oder Installieren von Einschränkungsvorlagen, den zugehörigen Einschränkungen oder der Einschränkungsvorlagenbibliothek finden Sie unter Einschränkungen erstellen.

Namespaces von der Erzwingung ausnehmen

Sie können Policy Controller so konfigurieren, dass Objekte innerhalb eines Namespaces ignoriert werden. Weitere Informationen finden Sie unter Namespaces vom Policy Controller ausschließen.

Ressourcen mutieren

Policy Controller fungiert auch als mutierender Webhook. Weitere Informationen finden Sie unter Ressourcen mutieren.

Policy Controller-Version anzeigen lassen

Prüfen Sie mit dem Image-Tag, welche Gatekeeper-Version Policy Controller verwendet, indem Sie den folgenden Befehl ausführen:

kubectl get deployments -n gatekeeper-system gatekeeper-controller-manager \
  -o="jsonpath={.spec.template.spec.containers[0].image}"

Das Git-Tag (oder Hash), das zum Erstellen von Gatekeeper verwendet wird, und die Versionsnummer des ConfigManagement Operator sind so im Image-Tag enthalten:

.../gatekeeper:VERSION_NUMBER-GIT_TAG.gBUILD_NUMBER

Für das folgende Image z. B. gilt:

gcr.io/config-management-release/gatekeeper:anthos1.3.2-480baac.g0
  • anthos1.3.2 ist die Versionsnummer.
  • 480baac ist das Git-Tag.
  • 0 ist die Build-Nummer.

In der Release-Versionsmatrix können Sie auch eine Liste aller Policy Controller-Versionen zusammen mit den entsprechenden Manifest-, Installations- und nomos-Binärversionen aufrufen.

Policy Controller aktualisieren

Lesen Sie vor dem Upgrade von Policy Controller die Versionshinweise, um zu erfahren, was sich zwischen den Versionen geändert hat.

Führen Sie die folgenden Schritte aus, um ein Upgrade von Policy Controller durchzuführen:

Console

  1. Rufen Sie in der Google Cloud Console im Abschnitt Posture Management (Verwaltung des Sicherheitsstatus) die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

  2. Wählen Sie auf dem Tab Einstellungen neben dem Cluster, dessen Version Sie aktualisieren möchten, die Option Konfiguration bearbeiten aus.
  3. Maximieren Sie das Menü Policy Controller-Konfiguration bearbeiten.
  4. Wählen Sie in der Drop-down-Liste Version die Version aus, auf die Sie ein Upgrade durchführen möchten.
  5. Klicken Sie auf Änderungen speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud container fleet policycontroller update \
  --version=VERSION \
  --membership=MEMBERSHIP_NAME

Ersetzen Sie Folgendes:

  • VERSION: Version, auf die Sie ein Upgrade ausführen möchten.
  • MEMBERSHIP_NAME: Name der Mitgliedschaft, den Sie bei der Registrierung Ihres Clusters ausgewählt haben. Sie können den Namen der Mitgliedschaft ermitteln, indem Sie gcloud container fleet memberships list ausführen.

Policy Controller deinstallieren

Führen Sie die folgenden Schritte aus, um Policy Controller aus Ihren Clustern zu deinstallieren.

Console

Führen Sie die folgenden Aufgaben aus, um Policy Controller in Ihren Clustern zu deaktivieren:

  1. Rufen Sie in der Google Cloud Console im Abschnitt Posture Management (Verwaltung des Sicherheitsstatus) die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

  2. Wählen Sie in der Clustertabelle auf dem Tab Einstellungen in der Spalte Konfiguration bearbeiten die Option Bearbeiten aus.
  3. Scrollen Sie im Clusterbereich nach unten und maximieren Sie das Menü Informationen zu Policy Controller.
  4. Wählen Sie Policy Controller deinstallieren aus.
  5. Bestätigen Sie die Deinstallation, indem Sie der Anleitung im Bestätigungsdialog folgen und Bestätigen auswählen.

Wenn Policy Controller deinstalliert ist, wird in den Statusspalten Nicht installiert angezeigt.

gcloud Policy Controller

Führen Sie den folgenden Befehl aus, um Policy Controller zu deinstallieren:

gcloud container fleet policycontroller disable \
  --memberships=MEMBERSHIP_NAME

Ersetzen Sie MEMBERSHIP_NAME durch den Mitgliedsnamen des registrierten Clusters, um Policy Controller zu deaktivieren. Du kannst mehrere Mitgliedschaften angeben, die durch ein Komma getrennt sind.

gcloud ConfigManagement

So deinstallieren Sie Policy Controller:

  1. Bearbeiten Sie die Konfiguration des ConfigManagement Operator in der Datei apply-spec.yaml und setzen Sie policyController.enabled auf false.

  2. Wenden Sie die Änderungen in der Datei apply-spec.yaml an:

     gcloud beta container fleet config-management apply \
     --membership=CLUSTER_NAME \
     --config=CONFIG_YAML \
     --project=PROJECT_ID

    Ersetzen Sie Folgendes:

    • CLUSTER_NAME: Fügen Sie den registrierten Cluster hinzu, auf den Sie diese Konfiguration anwenden möchten.
    • CONFIG_YAML: Fügen Sie den Pfad zur Datei apply-spec.yaml hinzu.
    • PROJECT_ID: Fügen Sie Ihre Projekt-ID hinzu.

ConfigManagement Operator entfernen

Wenn Sie Policy Controller über das Objekt ConfigManagement installiert haben, müssen Sie auch den ConfigManagement Operator aus Ihren Clustern entfernen.

Führen Sie die folgenden Befehle aus, um den ConfigManagement Operator zu entfernen:

  1. Löschen Sie das ConfigManagement-Objekt aus dem Cluster:

    kubectl delete configmanagement --all

    Die Ausführung dieses Befehls führt zu Folgendem:

    • Alle vom ConfigManagement Operator im Cluster erstellten ClusterRoles und ClusterRoleBindings werden aus dem Cluster gelöscht.
    • Alle vom ConfigManagement Operator installierten Admission-Controller-Konfigurationen werden gelöscht.
    • Der Inhalt des Namespace config-management-system wird mit Ausnahme des Secrets git-creds sowie bei Versionen von Policy Controller, Config Sync und Config Controller ab Version 1.9.0 für das Deployment config-management-operator und den Pod config-management-operator gelöscht. Der ConfigManagement Operator funktioniert ohne den Namespace config-management-system nicht. Alle vom ConfigManagement Operator-Controller erstellten oder geänderten CustomResourceDefinitions (CRDs) werden aus den Clustern entfernt, in denen sie erstellt oder geändert wurden. Die zum Ausführen des ConfigManagement Operator erforderliche CRD ist noch vorhanden, da sie aus Sicht von Kubernetes von dem Nutzer hinzugefügt wurde, der den ConfigManagement Operator installiert hat. Wie Sie diese Komponenten entfernen, erfahren Sie im nächsten Schritt.

  2. Wenn Sie das git-creds-Secret beibehalten möchten, sorgen Sie jetzt dafür:

    kubectl -n config-management-system get secret git-creds -o yaml

  3. Löschen Sie den Namespace config-management-system:

    kubectl delete ns config-management-system

  4. Löschen Sie den Namespace config-management-monitoring:

    kubectl delete ns config-management-monitoring

  5. Löschen Sie die ConfigManagement CustomResourceDefinition:

    kubectl delete crd configmanagements.configmanagement.gke.io

Policy Controller-RBAC und -Berechtigungen

Policy Controller bietet Arbeitslasten mit hohen Berechtigungen. Die Berechtigungen für diese Arbeitslasten werden in der Dokumentation zum Open Policy Agent Gatekeeper beschrieben.

Policy Controller-Ressourcenanfragen

In der folgenden Tabelle sind die Kubernetes-Ressourcenanforderungen für jede unterstützte Version aufgeführt. Die Ressourcenanfragen für den ConfigManagement Operator gelten nur, wenn Sie Policy Controller über das Objekt ConfigManagement installiert haben.

1.16

Komponente CPU Arbeitsspeicher
ConfigManagement-Operator 100 m 100 Mi
Policy Controller 100 m 256 Mi

1.15

Komponente CPU Arbeitsspeicher
ConfigManagement-Operator 100 m 100 Mi
Policy Controller 100 m 256 Mi

1.14

Komponente CPU Arbeitsspeicher
ConfigManagement-Operator 100 m 100 Mi
Policy Controller 100 m 256 Mi

Nächste Schritte