试用 Policy Controller

您可以在 Google Cloud 控制台中创建 Policy Controller 的试用报告，以审核 Google Kubernetes Engine (GKE) Enterprise 版集群。通过此试用，您可以根据 Policy Essentials 软件包（一组基于 Google 推荐的最佳实践的基准政策）审核集群。然后，您可以在 Google Cloud 控制台的信息中心内查看任何违反政策的行为。

此试用不会在集群上安装政策控制器，也不会产生任何结算费用。您可以安装政策控制器，以利用更多功能，例如 CI/CD 或准入时强制执行政策、持续审核集群以及访问完整限制条件模板库（可用于应用限制条件以强制执行政策，而无需编写自定义限制条件）。

---

如需在 Google Cloud 控制台中直接遵循有关此任务的分步指导，请点击操作演示：

操作演示

---

须知事项

1. 确保您有权访问运行 Kubernetes 1.14.x 或更高版本的 Google Kubernetes Engine 集群。

2. 如需获得试用 Policy Controller 所需的权限，请让您的管理员为您授予项目的 Kubernetes Engine Cluster Admin (roles/container.clusterAdmin) IAM 角色。如需详细了解如何授予角色，请参阅管理角色。

   此预定义角色可提供试用 Policy Controller 所需的权限。所需的确切权限包括：

   • container.clusterRoleBindings.create
   • container.clusterRoles.create
   • container.configMaps.create
   • container.jobs.create
   • container.namespaces.create
   • container.networkPolicies.create
   • container.roleBindings.create
   • container.roles.create

   • container.serviceAccounts.create

     您也可以使用自定义角色或其他预定义角色来获取这些权限。

创建政策控制器试用报告

1. 在 Google Cloud 控制台中，前往安全状况管理部分下的 GKE Enterprise 政策页面。

   前往“政策”

2. 选择试用 Policy Controller。

3. 选择要审核政策控制器试用的集群。

4. 选择创建报告。

   几分钟后，您将看到为您的集群生成的报告。您可以查看集群中违反政策的行为数量及其详细信息。

5. 要删除报告以及为试用创建的资源，请选择删除报告。

后续步骤

• 详细了解政策控制器。
• 详细了解 Policy Controller 软件包。
• 安装政策控制器
• 了解如何创建限制条件。
• 使用 Google 提供的限制条件模板库。
• 了解如何使用 CIS Kubernetes 基准政策限制条件。