试用 Policy Controller

您可以在 Google Cloud 控制台中创建 Policy Controller 的试用报告,以审核 Google Kubernetes Engine (GKE) Enterprise 版集群。通过此试用,您可以根据 Policy Essentials 软件包(一组基于 Google 推荐的最佳实践的基准政策)审核集群。然后,您可以在 Google Cloud 控制台的信息中心内查看任何违反政策的行为。

此试用不会在集群上安装政策控制器,也不会产生任何结算费用。您可以安装政策控制器,以利用更多功能,例如 CI/CD 或准入时强制执行政策、持续审核集群以及访问完整限制条件模板库(可用于应用限制条件以强制执行政策,而无需编写自定义限制条件)。


如需在 Google Cloud 控制台中直接遵循有关此任务的分步指导,请点击操作演示

操作演示


须知事项

  1. 确保您有权访问运行 Kubernetes 1.14.x 或更高版本的 Google Kubernetes Engine 集群。

  2. 如需获得试用 Policy Controller 所需的权限,请让您的管理员为您授予项目的 Kubernetes Engine Cluster Admin (roles/container.clusterAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理角色

    此预定义角色可提供试用 Policy Controller 所需的权限。所需的确切权限包括:

    • container.clusterRoleBindings.create
    • container.clusterRoles.create
    • container.configMaps.create
    • container.jobs.create
    • container.namespaces.create
    • container.networkPolicies.create
    • container.roleBindings.create
    • container.roles.create
    • container.serviceAccounts.create

      您也可以使用自定义角色或其他预定义角色来获取这些权限。

创建政策控制器试用报告

  1. 在 Google Cloud 控制台中,前往安全状况管理部分下的 GKE Enterprise 政策页面。

    前往“政策”

  2. 选择试用 Policy Controller

  3. 选择要审核政策控制器试用的集群。

  4. 选择创建报告

    几分钟后,您将看到为您的集群生成的报告。您可以查看集群中违反政策的行为数量及其详细信息。

  5. 要删除报告以及为试用创建的资源,请选择删除报告

后续步骤