您可以在 Google Cloud 控制台中创建 Policy Controller 的试用报告,以审核 Google Kubernetes Engine (GKE) Enterprise 版集群。通过此试用,您可以根据 Policy Essentials 软件包(一组基于 Google 推荐的最佳实践的基准政策)审核集群。然后,您可以在 Google Cloud 控制台的信息中心内查看任何违反政策的行为。
此试用不会在集群上安装政策控制器,也不会产生任何结算费用。您可以安装政策控制器,以利用更多功能,例如 CI/CD 或准入时强制执行政策、持续审核集群以及访问完整限制条件模板库(可用于应用限制条件以强制执行政策,而无需编写自定义限制条件)。
如需在 Google Cloud 控制台中直接遵循有关此任务的分步指导,请点击操作演示:
须知事项
确保您有权访问运行 Kubernetes 1.14.x 或更高版本的 Google Kubernetes Engine 集群。
如需获得试用 Policy Controller 所需的权限,请让您的管理员为您授予项目的 Kubernetes Engine Cluster Admin (
roles/container.clusterAdmin
) IAM 角色。如需详细了解如何授予角色,请参阅管理角色。此预定义角色可提供试用 Policy Controller 所需的权限。所需的确切权限包括:
创建政策控制器试用报告
- 在 Google Cloud 控制台中,前往安全状况管理部分下的 GKE Enterprise 政策页面。
选择试用 Policy Controller。
选择要审核政策控制器试用的集群。
选择创建报告。
几分钟后,您将看到为您的集群生成的报告。您可以查看集群中违反政策的行为数量及其详细信息。
要删除报告以及为试用创建的资源,请选择删除报告。
后续步骤
- 详细了解政策控制器。
- 详细了解 Policy Controller 软件包。
- 安装政策控制器
- 了解如何创建限制条件。
- 使用 Google 提供的限制条件模板库。
- 了解如何使用 CIS Kubernetes 基准政策限制条件。