本页面介绍了如何使用 Policy Controller 信息中心查看政策覆盖率和集群违规行为。
本页面适用于想要提供并维护自动化以进行审核或强制执行,从而确保云平台中运行的所有资源满足组织合规性要求,以及设置提醒并监控 IT 系统是否存在性能问题和漏洞的 IT 管理员和运维人员。如需详细了解我们在 Google Cloud 内容中提及的常见角色和示例任务,请参阅常见的 GKE Enterprise 用户角色和任务。
使用 Google Cloud 控制台查看包含政策覆盖率相关信息的信息中心。信息中心会显示以下信息:
- 舰队中安装了 Policy Controller 的集群数量(包括未注册的集群)。
- 安装了包含政策违规的 Policy Controller 的集群的数量。
- 每次强制执行操作应用于集群的限制条件数量。
如果您使用的是 Policy Controller 包,则可以查看基于一个或多个包的标准的合规性概览。此概览按舰队级层汇总,还包括未注册的集群(预览版)。
准备工作
确保您的集群已注册到舰队,并且您的集群已安装 Policy Controller。
如需获得使用 Policy Controller 信息中心所需的权限,请让您的管理员为您授予以下 IAM 角色:
- 包含舰队的项目的 GKE Hub Viewer (
roles/gkehub.viewer
) - 舰队中具有集群的每个项目的 Monitoring Viewer (
roles/monitoring.viewer
)
如需详细了解如何授予角色,请参阅管理访问权限。
- 包含舰队的项目的 GKE Hub Viewer (
查看 Policy Controller 状态
您可以在 Google Cloud 控制台中查看有关政策覆盖范围的信息。
-
在 Google Cloud 控制台中,前往安全状况管理部分下的 GKE Enterprise 政策页面。
在信息中心标签页上,请查看包含以下信息的 Policy Controller 覆盖率概览:
- 政策控制器覆盖率显示安装和未启用政策控制器的集群数量。
- 违规集群显示没有任何违规行为的集群数量以及违规集群的数量。违规行为取决于对集群应用的限制条件。
- 强制执行操作显示每个限制条件中指定的操作类型。如需详细了解强制执行操作,请参阅使用限制条件进行审核。
- 按标准合规:基于一个或多个政策控制器包中的标准合规性概览。如果您未使用任何套装,则本部分中的状态将显示为“100% 未应用”。
如需查看集群中违反政策行为的更多详细信息,请前往违规行为标签页:
在按以下条件查看部分,选择以下选项之一:
- 限制条件:查看集群中包含违规行为的所有限制条件的平面列表。
- 命名空间:查看包含违规行为的限制条件,按发生违规行为的资源所属的命名空间整理。
- 资源种类:查看包含违规行为的限制条件,按发生违规行为的资源整理。
从任何视图中,选择要查看的限制条件的名称。
详情标签页显示有关违规行为的信息,包括解决违规行为的推荐措施。
受影响的资源标签页显示限制条件正在评估以及存在违反政策行为的资源的信息。
在 Security Command Center 中查看政策发现结果
安装 Policy Controller 后,您可以在 Security Command Center 中查看违反政策的情况。这样您就可以在同一位置查看 Google Cloud 资源和 Kubernetes 资源的安全状况。您必须在组织中激活 Security Command Center(标准或高级层级)。
在 Security Command Center 中,政策违规显示为 Misconfiguration
发现结果。每个发现结果的类别和后续步骤与限制条件说明和补救步骤相同。
如需详细了解如何在 Security Command Center 中使用 Policy Controller,请参阅 Policy Controller 漏洞发现结果。