Esta página descreve como configurar espaços de nomes isentos no Policy Controller.
Os espaços de nomes isentos removem um espaço de nomes da aplicação do webhook de admissão com o Policy Controller, mas todas as violações continuam a ser comunicadas na auditoria. Se não configurar nenhum espaço de nomes, apenas o espaço de nomes gatekeeper-system é pré-configurado como isento da aplicação do webhook de admissão do Policy Controller.
Configure espaços de nomes isentos
A configuração de um espaço de nomes isento aplica a etiqueta admission.gatekeeper.sh/ignore, que isenta o espaço de nomes da aplicação do webhook de admissão do Policy Controller. Se remover posteriormente um espaço de nomes isento, o Policy Controller não remove a etiqueta admission.gatekeeper.sh/ignore do espaço de nomes.
Iente espaços de nomes da aplicação
Pode isentar espaços de nomes durante a instalação do Policy Controller ou após a instalação. O processo seguinte mostra como isentar espaços de nomes após a instalação.
Consola
- Na Google Cloud consola, aceda à página Política na secção Gestão de postura.
- No separador Definições, na tabela de clusters, selecione Editar edit na coluna Editar configuração.
- Expanda o menu Editar configuração do Policy Controller.
- No campo Espaços de nomes isentos, indique uma lista de espaços de nomes válidos. Os objetos nestes espaços de nomes são ignorados por todas as políticas. Os espaços de nomes não têm de existir.
- Selecione Guardar alterações.
gcloud
Para adicionar espaços de nomes à lista de espaços de nomes que podem ser isentos da aplicação pelo webhook de admissão, execute o seguinte comando:
gcloud container fleet policycontroller update \
--memberships=MEMBERSHIP_NAME \
--exemptable-namespaces=[NAMESPACE_LIST]
Substitua o seguinte:
MEMBERSHIP_NAME: o nome da subscrição do cluster registado para isentar espaços de nomes. Pode especificar várias subscrições separadas por uma vírgula.NAMESPACE_LIST: uma lista separada por vírgulas de espaços de nomes que quer que o Policy Controller isente da aplicação.
Este comando isenta os recursos apenas do webhook de admissão. Os recursos ainda estão a ser auditados. Em alternativa, para isentar espaços de nomes da auditoria, defina a isenção ao nível do conjunto de políticas:
gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
--memberships=MEMBERSHIP_NAME \
--exempted-namespaces=[NAMESPACE_LIST]
Substitua o seguinte:
BUNDLE_NAMEcom o nome do pacote de políticas que quer atualizar com espaços de nomes isentos.MEMBERSHIP_NAME: o nome da subscrição do cluster registado para isentar espaços de nomes. Pode especificar várias subscrições separadas por uma vírgula.NAMESPACE_LIST: uma lista separada por vírgulas de espaços de nomes que quer que o Policy Controller isente da aplicação.
Espaços de nomes a isentar da aplicação
Estes são alguns espaços de nomes que podem ser criados pelo Google Kubernetes Engine (GKE) e produtos relacionados. Recomendamos que os isente da aplicação para evitar um impacto indesejável:
- anthos-creds
- anthos-identity-service
- apigee
- apigee-system
- asm-system
- capi-kubeadm-bootstrap-system
- capi-system
- cert-manager
- cnrm-system
- config-management-monitoring
- config-management-system
- gke-connect
- gke-gmp-system
- gke-managed-cim
- gke-managed-filestorecsi
- gke-managed-metrics-server
- gke-managed-system
- gke-system
- gmp-public
- gmp-system
- hnc-system
- istio-system
- kube-node-lease
- kube-public
- kube-system
- poco-trial
- resource-group-system
- vm-system