Policy Controller testen

Sie können in der Google Cloud Console einen Testbericht für Policy Controller erstellen, um Ihre Cluster der Google Kubernetes Engine (GKE) Enterprise-Version zu prüfen. Mit diesem Test können Sie einen Cluster anhand des Policy Essentials-Bundles prüfen, einer Reihe von Referenzrichtlinien, die auf von Google empfohlenen Best Practices basieren. Anschließend können Sie sich alle Richtlinienverstöße in einem Dashboard in der Google Cloud Console ansehen.

Durch den Testzeitraum wird Policy Controller nicht in Ihren Clustern installiert und es fallen keine Kosten an. Sie können Policy Controller installieren, um weitere Funktionen zu nutzen, z. B. Richtlinienerzwingung bei CI/CD oder zur Zulassung, kontinuierliche Prüfung von Clustern und Zugriff auf die vollständige Einschränkungsvorlagenbibliothek, mit der Sie Einschränkungen anwenden können, um Richtlinien zu erzwingen, ohne benutzerdefinierte Einschränkungen zu schreiben.

Klicken Sie auf Anleitung, um die Schritt-für-Schritt-Anleitung für diese Aufgabe direkt in der Google Cloud Console auszuführen:

Anleitung

Hinweise

  1. Achten Sie darauf, dass Sie Zugriff auf einen Google Kubernetes Engine-Cluster haben, auf dem eine Kubernetes-Version 1.14.x oder höher ausgeführt wird.

  2. Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „Kubernetes Engine Cluster Admin“ (roles/container.clusterAdmin) für Ihr Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Testen von Policy Controller benötigen. Weitere Informationen zum Gewähren von Rollen finden Sie unter Rollen verwalten.

    Diese vordefinierte Rolle enthält die Berechtigungen, die zum Testen von Policy Controller erforderlich sind. Folgende Berechtigungen sind erforderlich:

    • container.clusterRoleBindings.create
    • container.clusterRoles.create
    • container.configMaps.create
    • container.jobs.create
    • container.namespaces.create
    • container.networkPolicies.create
    • container.roleBindings.create
    • container.roles.create

    • container.serviceAccounts.create

      Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Policy Controller-Testbericht erstellen

  1. Rufen Sie in der Google Cloud Console im Abschnitt Posture Management (Verwaltung des Sicherheitsstatus) die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

  2. Wählen Sie Policy Controller testen aus.

    Screenshot der Seite Policy Controller, Config Sync und Config Controller in der Google Cloud Console

  3. Wählen Sie den Cluster aus, den Sie für den Policy Controller-Test prüfen möchten.

  4. Wählen Sie Bericht erstellen aus.

    Nach einigen Minuten sehen Sie den für Ihren Cluster generierten Bericht. Sie können die Anzahl der Richtlinienverstöße in Ihrem Cluster und Details zu diesen Verstößen ansehen.

  5. Wählen Sie Bericht löschen aus, um den Bericht zusammen mit den Ressourcen zu löschen, die zum Ausführen des Tests erstellt wurden.

Nächste Schritte