Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page explique comment configurer les espaces de noms exemptés dans Policy Controller.
Les espaces de noms exemptés suppriment un espace de noms de l'application forcée du webhook d'admission avec Policy Controller, mais les violations sont toujours signalées dans audit. Si vous ne configurez aucun espace de noms, seul l'espace de noms gatekeeper-system est préconfiguré comme exempté de l'application forcée du webhook d'admission Policy Controller.
Configurer des espaces de noms exemptés
La configuration d'un espace de noms exemptable applique l'étiquette admission.gatekeeper.sh/ignore, qui exempte l'espace de noms de l'application du webhook d'admission Policy Controller. Si vous supprimez ultérieurement un espace de noms exemptable, Policy Controller ne supprimera pas le libellé admission.gatekeeper.sh/ignore de l'espace de noms.
Exempter des espaces de noms de l'application forcée
Vous pouvez exempter des espaces de noms lors de l'installation de Policy Controller ou après l'installation. La procédure suivante vous explique comment exempter des espaces de noms après l'installation.
Console
Dans la console Google Cloud , accédez à la page Stratégie de GKE Enterprise sous la section Gestion de la posture.
Sous l'onglet Paramètres, dans la table du cluster, sélectionnez Modifieredit dans la colonne Modifier la configuration.
Développez le menu Modifier la configuration Policy Controller.
Dans le champ Exempter les espaces de noms, fournissez la liste des espaces de noms valides.
Les objets de ces espaces de noms sont ignorés par toutes les règles. Les espaces de noms n'ont pas besoin d'exister pour le moment.
Sélectionnez Enregistrer les modifications.
gcloud
Pour ajouter des espaces de noms à la liste des espaces de noms pouvant être exemptés d'une application par le webhook d'admission, exécutez la commande suivante :
MEMBERSHIP_NAME : nom de l'appartenance du cluster enregistré sur lequel exempter les espaces de noms. Vous pouvez spécifier plusieurs appartenances séparées par une virgule.
NAMESPACE_LIST : liste d'espaces de noms, séparés par une virgule, que Policy Controller doit exempter de l'application forcée.
Cette commande n'exempte les ressources que du webhook d'admission. Les ressources sont toujours auditées. Pour exclure à la place des espaces de noms de l'audit, définissez l'exception au niveau du groupe de règles :
BUNDLE_NAME par le nom du bundle de règles que vous souhaitez mettre à jour avec les espaces de noms exemptés.
MEMBERSHIP_NAME : nom de l'appartenance du cluster enregistré sur lequel exempter les espaces de noms. Vous pouvez spécifier plusieurs appartenances séparées par une virgule.
NAMESPACE_LIST : liste d'espaces de noms, séparés par une virgule, que Policy Controller doit exempter de l'application forcée.
Espaces de noms à exempter de l'application forcée
Voici quelques espaces de noms qui peuvent être créés par Google Kubernetes Engine (GKE) et les produits associés. Vous pouvez les exclure de l'application forcée pour éviter tout impact indésirable :
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/01 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/01 (UTC)."],[],[],null,["This page describes how to configure exempt namespaces in Policy Controller.\n| **Caution:** Namespace exemption from the admission webhook is possible only on Standard clusters. For Autopilot clusters, you can [define exemptions on the constraint](/kubernetes-engine/enterprise/policy-controller/docs/how-to/creating-policy-controller-constraints#constraint) instead.\n\nExempt namespaces remove a namespace from admission webhook enforcement with\nPolicy Controller, but any violations are still reported in\n[audit](/kubernetes-engine/enterprise/policy-controller/docs/how-to/auditing-constraints). If you don't configure any\nnamespaces, only the `gatekeeper-system` namespace is pre-configured as exempt\nfrom the Policy Controller admission webhook enforcement.\n\nConfigure exempt namespaces\n\nConfiguring an exemptable namespace applies the\n`admission.gatekeeper.sh/ignore` label, which exempts the namespace from Policy Controller\nadmission webhook enforcement. If you later remove an exemptable namespace,\nPolicy Controller does not remove the `admission.gatekeeper.sh/ignore` label\nfrom the namespace.\n\nExempt namespaces from enforcement\n\nYou can exempt namespaces either\n[during Policy Controller installation](/kubernetes-engine/enterprise/policy-controller/docs/how-to/installing-policy-controller#installing),\nor after installation. The following process shows you how to exempt namespaces\nafter installation. \n\nConsole\n\n1. In the Google Cloud console, go to the **Policy** page under the **Posture Management** section.\n\n \u003cbr /\u003e\n\n [Go to Policy](https://console.cloud.google.com/kubernetes/policy_controller)\n2. Under the **Settings** tab, in the cluster table, select **Edit** *edit* in the **Edit configuration** column.\n3. Expand the **Edit Policy Controller configuration** menu.\n4. In the **Exempt namespaces** field, provide a list of valid namespaces. Objects in these namespaces are ignored by all policies. The namespaces don't need to exist yet.\n5. Select **Save changes**.\n\ngcloud\n\nTo add namespaces to the list of namespaces that may be exempted from\nenforcement by the admission webhook, run the following command: \n\n gcloud container fleet policycontroller update \\\n --memberships=\u003cvar translate=\"no\"\u003eMEMBERSHIP_NAME\u003c/var\u003e \\\n --exemptable-namespaces=[\u003cvar translate=\"no\"\u003eNAMESPACE_LIST\u003c/var\u003e]\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003eMEMBERSHIP_NAME\u003c/var\u003e: the membership name of the registered cluster to exempt namespaces on. You can specify multiple memberships separated by a comma.\n- \u003cvar translate=\"no\"\u003eNAMESPACE_LIST\u003c/var\u003e: a comma-separated list of namespaces that you want Policy Controller to exempt from enforcement.\n\nThis command exempts resources only from the admission webhook. The resources\nare still audited. To instead exempt namespaces from audit, set the\nexemption at the policy bundle level instead: \n\n gcloud container fleet policycontroller content bundles set \u003cvar translate=\"no\"\u003eBUNDLE_NAME\u003c/var\u003e \\\n --memberships=\u003cvar translate=\"no\"\u003eMEMBERSHIP_NAME\u003c/var\u003e \\\n --exempted-namespaces=[\u003cvar translate=\"no\"\u003eNAMESPACE_LIST\u003c/var\u003e]\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003eBUNDLE_NAME\u003c/var\u003e with the name of the policy bundle that you want to update with exempted namespaces.\n- \u003cvar translate=\"no\"\u003eMEMBERSHIP_NAME\u003c/var\u003e: the membership name of the registered cluster to exempt namespaces on. You can specify multiple memberships separated by a comma.\n- \u003cvar translate=\"no\"\u003eNAMESPACE_LIST\u003c/var\u003e: a comma-separated list of namespaces that you want Policy Controller to exempt from enforcement.\n\nNamespaces to exempt from enforcement\n\nThese are some namespaces which could be created by Google Kubernetes Engine (GKE)\nand related products. You may want to exempt them from enforcement to avoid\nundesired impact: \n\n - anthos-creds\n - anthos-identity-service\n - apigee\n - apigee-system\n - asm-system\n - capi-kubeadm-bootstrap-system\n - capi-system\n - cert-manager\n - cnrm-system\n - config-management-monitoring\n - config-management-system\n - gke-connect\n - gke-gmp-system\n - gke-managed-cim\n - gke-managed-filestorecsi\n - gke-managed-metrics-server\n - gke-managed-system\n - gke-system\n - gmp-public\n - gmp-system\n - hnc-system\n - istio-system\n - kube-node-lease\n - kube-public\n - kube-system\n - poco-trial\n - resource-group-system\n - vm-system"]]
