安裝 Policy Controller

控制台

如要在 Google Cloud 控制台中安裝 Policy Controller，請完成下列步驟：

1. 前往 Google Cloud 控制台的「Posture Management」(狀態管理) 專區，然後點選「Policy」(政策) 頁面。

   前往「政策」

2. 按一下「設定 Policy Controller」add。

3. 選用：如要變更預設的車隊設定，請按一下「自訂車隊設定」。然後在隨即顯示的對話方塊中，執行以下操作：

   1. 在「新增/編輯政策套裝組合」部分，按一下相關切換按鈕，即可納入或排除政策套裝組合。

   2. 在「編輯 Policy Controller 設定」部分，完成下列步驟：

      1. 如要啟用異動 Webhook，請選取「啟用異動 Webhook」核取方塊。這項功能與 Autopilot 叢集不相容。
      2. 在「稽核間隔」方塊中，輸入連續兩項稽核作業之間的間隔秒數。

      3. 在「Exemptible namespaces」(可豁免的命名空間) 方塊中，輸入命名空間清單。 政策控制器會忽略這些命名空間中的物件。這項功能不適用於 Autopilot 叢集。

         最佳做法：

         豁免系統命名空間，避免環境發生錯誤。如需如何排除命名空間的說明，以及 Google Cloud 服務建立的常見命名空間清單，請參閱「排除命名空間」頁面。

      4. 如要啟用參照限制，請選取「Enable Constraint Templates that reference to objects other than the object currently being evaluated」(啟用參照物件並非當前評估項目的限制範本) 核取方塊。

      5. 在「版本」清單中，選取要使用的 Policy Controller 版本。

   3. 按一下 [儲存變更]。

4. 按一下 [設定]。

5. 在確認對話方塊中，按一下「確認」。如果您先前未啟用 Policy Controller，按一下「確認」會啟用 anthospolicycontroller.googleapis.com API，並在叢集上安裝 Policy Controller。

6. 選用步驟：將現有叢集與預設設定同步：

   1. 在「設定」分頁中，按一下「與機群設定同步」。
   2. 在「Clusters in the fleet」(機群中的叢集) 清單中，選取要同步的叢集，然後按一下「Sync to fleet settings」(與機群設定同步)。這項作業可能要幾分鐘才能完成。

系統會將您重新導向至 Policy Controller 的「設定」分頁。在叢集上安裝及設定 Policy Controller 後，狀態欄就會顯示「已安裝」圖示 check_circle。這可能需要幾分鐘的時間。

gcloud

執行下列指令來啟用 Policy Controller：

gcloud container fleet policycontroller enable \
    --memberships=MEMBERSHIP_NAME

您可以設定其他欄位來設定 Policy Controller。舉例來說，您可能會希望政策控制器豁免部分命名空間，不必強制執行政策。如需可設定的完整欄位清單，請參閱 Policy Controller Google Cloud CLI 說明文件，或執行 gcloud container fleet policycontroller enable --help。

如要為 Policy Controller 設定機群層級設定，請完成下列步驟：

1. 建立名為 fleet-default.yaml 的檔案，其中包含 Policy Controller 的預設設定。如要啟用車隊層級的預設值，請務必填寫「installSpec」欄位。這個範例顯示可設定的選項：

   # cat fleet-default.yaml
   
    policyControllerHubConfig:
     installSpec: INSTALL_SPEC_ENABLED 
     # Uncomment to set default deployment-level configurations.
     # deploymentConfigs:
     #   admission:
     #     containerResources:
     #       limits:
     #         cpu: 1000m
     #         memory: 8Gi
     #       requests:
     #         cpu: 500m
     #         memory: 4Gi
     # Uncomment to set policy bundles that you want to install by default.
     # policyContent:
     #   bundles:
     #     cis-k8s-v1.5.1:
     #       exemptedNamespaces:
     #       - "namespace-name"
     # Uncomment to exempt namespaces from admission.
     # exemptableNamespaces:
     # - "namespace-name"
     # Uncomment to enable support for referential constraints
     # referentialRulesEnabled: true
     # Uncomment to disable audit, adjust value to set audit interval
     # auditIntervalSeconds: 0
     # Uncomment to log all denies and dryrun failures
     # logDeniesEnabled: true
     # Uncomment to enable mutation
     # mutationEnabled: true
     # Uncomment to adjust the value to set the constraint violation limit
     # constraintViolationLimit: 20
     # ... other fields ...
   

   最佳做法：

   豁免系統命名空間，避免環境發生錯誤。如需如何排除命名空間的說明，以及 Google Cloud 服務建立的常見命名空間清單，請參閱「排除命名空間」頁面。

2. 將預設設定套用至機群：

   gcloud container fleet policycontroller enable \
     --fleet-default-member-config=fleet-default.yaml
   

3. 如要確認設定已套用，請執行下列指令：

   gcloud container fleet policycontroller describe
   

4. 如要移除車隊層級的預設設定，請執行下列指令：

   gcloud container fleet policycontroller enable \
     --no-fleet-default-member-config
   

Terraform

如要透過安裝的預設範本庫，在整個機群中啟用 Policy Controller，請參閱下列範例：

resource "google_gke_hub_feature" "policycontroller" {
  name     = "policycontroller"
  location = "global"
  project  = data.google_project.default.project_id

  fleet_default_member_config {
    policycontroller {
      policy_controller_hub_config {
        install_spec = "INSTALL_SPEC_ENABLED"
        policy_content {
          bundles {
            bundle = "pss-baseline-v2022"
          }
          template_library {
            installation = "ALL"
          }
        }
      }
    }
  }
}

您可以傳遞多個 bundle 區塊，安裝Policy Controller 套件總覽中列出的任何套件。

如要進一步瞭解如何使用 Terraform，請參閱「Policy Controller 的 Terraform 支援」。

控制台

操作步驟如下：

1. 前往 Google Cloud 控制台的「Posture Management」(狀態管理) 專區，然後點選「Policy」(政策) 頁面。

   前往「政策」

2. 在「設定」分頁的叢集表格中，查看「Policy Controller 狀態」欄。安裝成功後，狀態會顯示為「已安裝」check_circle。

gcloud

執行下列指令：

gcloud container fleet policycontroller describe --memberships=MEMBERSHIP_NAME

安裝成功後，系統會顯示 membershipStates: MEMBERSHIP_NAME: policycontroller: state: ACTIVE。

控制台

操作步驟如下：

1. 前往 Google Cloud 控制台的「Posture Management」(狀態管理) 專區，然後點選「Policy」(政策) 頁面。

   前往「政策」

2. 在「設定」分頁的叢集表格中，選取「已安裝的套件組合」欄中列出的數字。在「政策內容狀態」窗格中，範本庫成功安裝後會顯示「已安裝」狀態 check_circle。

gcloud

執行下列指令：

kubectl get constrainttemplates

您會看到類似以下範例的輸出內容：

NAME                                      AGE
k8sallowedrepos                           84s
k8scontainerlimits                        84s
k8spspallowprivilegeescalationcontainer   84s
...[OUTPUT TRUNCATED]...

如果個別限制範本安裝正確，其 status.created 欄位會是 true。

控制台

1. 前往 Google Cloud 控制台的「Posture Management」(狀態管理) 專區，然後點選「Policy」(政策) 頁面。

   前往「政策」

2. 在「設定」分頁標籤下方，找到要升級版本的叢集，然後選取 edit「編輯設定」。
3. 展開「編輯 Policy Controller 設定」選單。
4. 從「版本」下拉式清單中，選取要升級的版本。
5. 按一下 [儲存變更]。

gcloud

執行下列指令：

gcloud container fleet policycontroller update \
  --version=VERSION \
  --memberships=MEMBERSHIP_NAME

更改下列內容：

• VERSION：要升級的版本
• MEMBERSHIP_NAME：註冊叢集時選擇的成員名稱。您可以執行 gcloud container fleet memberships list 找出會員名稱。

控制台

如要在叢集上停用 Policy Controller，請完成下列工作：

1. 前往 Google Cloud 控制台的「Posture Management」(狀態管理) 專區，然後點選「Policy」(政策) 頁面。

   前往「政策」

2. 在「設定」分頁的叢集表格中，選取「編輯設定」欄中的「編輯」edit。
3. 在叢集窗格中，展開「About Policy Controller」選單。
4. 選取「解除安裝 Policy Controller」。
5. 按照確認對話方塊中的指示操作，然後選取「確認」，確認解除安裝。

解除安裝 Policy Controller 後，狀態欄就會顯示「Not installed」(未安裝) 圖示 do_not_disturb_on。

gcloud

如要解除安裝 Policy Controller，請執行下列指令：

gcloud container fleet policycontroller disable \
  --memberships=MEMBERSHIP_NAME

將 MEMBERSHIP_NAME 替換為要停用 Policy Controller 的已註冊叢集成員資格名稱。你可以指定多個會員方案，並以半形逗號分隔。