이 페이지에서는 정책 컨트롤러 대시보드를 사용하여 정책 범위와 클러스터 위반을 확인하는 방법을 설명합니다.
Google Cloud 콘솔을 사용하여 정책 범위에 대한 정보가 포함된 대시보드를 확인합니다. 대시보드에는 다음과 같은 정보가 표시됩니다.
- 정책 컨트롤러가 설치된 Fleet의 클러스터 수(미등록 클러스터 포함)
- 정책 컨트롤러가 설치되어 있고 정책 위반이 포함된 클러스터 수
- 시행 작업당 클러스터에 적용되는 제약조건 수
정책 컨트롤러 번들을 사용하는 경우 하나 이상의 번들에 있는 표준에 따라 규정 준수 개요를 볼 수 있습니다. 이 개요는 Fleet 수준에서 집계되며 미등록 클러스터도 포함합니다(미리보기).
시작하기 전에
클러스터가 Fleet에 등록되어 있고 클러스터에 정책 컨트롤러가 설치되었는지 확인합니다.
정책 컨트롤러 대시보드를 사용하는 데 필요한 권한을 얻으려면 관리자에게 다음 IAM 역할을 부여해 달라고 요청하세요.
- Fleet이 포함된 프로젝트에 대한 GKE 허브 뷰어(
roles/gkehub.viewer
) - Fleet에 클러스터가 있는 각 프로젝트의 Monitoring 뷰어(
roles/monitoring.viewer
)
역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.
- Fleet이 포함된 프로젝트에 대한 GKE 허브 뷰어(
정책 컨트롤러 상태 보기
Google Cloud 콘솔에서 정책 적용 범위에 대한 정보를 볼 수 있습니다.
-
Google Cloud 콘솔의 상황 관리 섹션에서 GKE Enterprise 정책 페이지로 이동합니다.
대시보드 탭에서 다음 정보와 함께 정책 컨트롤러 범위에 대한 개요를 확인하세요.
- 정책 컨트롤러 범위에는 정책 컨트롤러가 설치되었거나 설치되지 않은 클러스터 수가 표시됩니다.
- 위반 클러스터에는 위반이 없는 클러스터 수와 위반이 있는 클러스터 수가 표시됩니다. 위반은 클러스터에 적용되는 제약조건을 기반으로 합니다.
- 시행 작업은 각 제약조건에 지정된 작업 유형을 보여줍니다. 시행 작업에 대한 자세한 내용은 제약조건을 사용하여 감사를 참조하세요.
- 표준별 규정 준수는 하나 이상의 정책 컨트롤러 번들의 표준에 따른 규정 준수 개요를 보여줍니다. 번들을 사용하지 않는 경우 이 섹션의 상태가 '100% 적용되지 않음'으로 표시됩니다.
클러스터에서 정책 위반에 대한 자세한 정보를 확인하려면 위반 탭으로 이동합니다.
보기 기준 섹션에서 다음 옵션 중 하나를 선택합니다.
- 제약조건: 클러스터에서 위반이 있는 모든 제약조건의 단순 목록을 확인합니다.
- 네임스페이스: 위반이 있는 제약조건을 확인하고 위반이 있는 리소스를 포함하는 네임스페이스별로 정리합니다.
- 리소스 종류: 위반이 있는 제약조건을 확인하고 위반이 있는 리소스별로 정리합니다.
아무 뷰에서나 보려는 제약조건 이름을 선택합니다.
세부정보 탭에는 위반 문제 해결을 위한 권장 작업을 포함하여 위반에 대한 정보가 표시됩니다.
영향을 받는 리소스 탭에 제약조건으로 평가 중인 리소스 및 정책 위반이 있는 리소스에 대한 정보가 표시됩니다.
Security Command Center에서 정책 발견 항목 보기
정책 컨트롤러가 설치된 후 Security Command Center에서 정책 위반을 확인할 수 있습니다. 이렇게 해서 Google Cloud 리소스 및 동일 장소의 Kubernetes 리소스에 대한 보안 상황을 확인할 수 있습니다. 스탠더드 또는 프리미엄 등급으로 조직에서 Security Command Center를 활성화해야 합니다.
Security Command Center에서 정책 위반은 Misconfiguration
발견 항목으로 표시됩니다. 각 발견 항목의 카테고리 및 다음 단계는 제약 조건 설명 및 해결 단계와 동일합니다.
Security Command Center에서 정책 컨트롤러 사용에 대한 자세한 내용은 정책 컨트롤러 취약점 발견 항목을 참조하세요.