Policy Controller、Config Sync 和 Config Controller 概览
Policy Controller、Config Sync 和 Config Controller 可帮助持续保护和配置 Google Cloud 和 Kubernetes 资源,如下图所示:
- Policy Controller
- 政策控制器支持强制执行完全可编程的政策,这些政策表示对所需状态的限制条件。这些政策可充当“保护措施”,防止配置违反安全和合规控制措施。您可以使用这些政策主动屏蔽不符合政策的 API 请求,也可以仅审核集群的配置并报告违规行为。政策控制器基于开源的 Open Policy Agent Gatekeeper 项目,并附带一个完整的预构建政策库,用于进行常见的安全与合规控制。此外,通过遵循政策管理的最佳做法,您还可以在修改配置时强制执行保护措施,或将其作为 Config Sync 的提交前检查。
- Config Sync
- Config Sync 会持续将集群与存储在一个或多个 Git 代码库中的一组中央配置同步。借助这种 GitOps 方法,您能够通过可审核、事务性且受版本控制的部署流程,以一致的方式跨集群和环境应用配置。
- Config Controller
- Config Controller 是一项用于预配和编排 GKE Enterprise 和 Google Cloud 资源的托管服务。此组件提供一个 API 端点,可以作为 Config Management 的组件预配、启用和编排 Google Cloud 资源。
后续步骤
- 详细了解政策控制器、Config Sync 和配置控制器。
- 了解如何设置 Config Controller。