Usar o Policy Controller

É possível criar um relatório de teste do Policy Controller no console do Google Cloud para auditar os clusters da edição Enterprise do Google Kubernetes Engine (GKE). Esse teste permite auditar um cluster no pacote do Policy Essentials, um conjunto de políticas de valor de referência com base nas práticas recomendadas do Google. É possível ver as violações da política em um painel no Console do Google Cloud.

O teste não instala o Policy Controller nos clusters e não gera cobranças. É possível instalar o Policy Controller para aproveitar mais recursos, como a aplicação da política no CI/CD ou no momento da admissão, a auditoria contínua de clusters e o acesso à biblioteca de modelos de restrição completa, que pode ser usada para aplicar restrições para aplicar políticas sem escrever restrições personalizadas.

---

Para seguir as instruções detalhadas desta tarefa diretamente no console do Google Cloud, clique em Orientação:

Orientações

---

Antes de começar

1. Verifique se você tem acesso a um cluster do Google Kubernetes Engine que executa a versão 1.14.x ou posterior do Kubernetes.

2. Para receber as permissões necessárias para testar o Policy Controller, peça ao administrador para conceder a você o papel do IAM de administrador do cluster do Kubernetes Engine (roles/container.clusterAdmin) no seu projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar papéis.

   Esse papel predefinido contém as permissões necessárias para testar o Policy Controller. As permissões exatas necessárias são:

   • container.clusterRoleBindings.create
   • container.clusterRoles.create
   • container.configMaps.create
   • container.jobs.create
   • container.namespaces.create
   • container.networkPolicies.create
   • container.roleBindings.create
   • container.roles.create

   • container.serviceAccounts.create

     Essas permissões também podem ser concedidas com papéis personalizados ou outros papéis predefinidos.

Criar um relatório de teste do Policy Controller

1. No console do Google Cloud, acesse a página Política do GKE Enterprise na seção Gerenciamento de postura.

   Acessar a política

2. Selecione Testar o Policy Controller.

   

3. Selecione o cluster que você quer auditar para o teste do Policy Controller.

4. Selecione Criar relatório.

   Depois de alguns minutos, você verá o relatório gerado para seu cluster. É possível ver o número de violações de políticas no cluster e os detalhes delas.

5. Para excluir o relatório, além dos recursos criados para executar o teste, selecione Excluir relatório.

A seguir

• Saiba mais sobre o Policy Controller.
• Saiba mais sobre os pacotes do Policy Controller.
• Instale o Policy Controller.
• Saiba como criar uma restrição.
• Use a biblioteca de modelos de restrição fornecida pelo Google.
• Veja como usar as restrições da política de Mercado CIS do Kubernetes.