Config Sync 和 Policy Controller 会在您的整个基础架构中强制执行通用配置。您可以定义配置,例如自定义安全政策。这些配置存储在启用了版本控制的可信来源(例如 Git 代码库)中。然后,Config Sync 和 Policy Controller 会确保您的基础架构与这些配置保持一致。
准备工作
如果您将 Config Sync 可信来源托管在 AWS VPC 无法访问的位置,则必须从节点池安全群组打开对可信来源主机的出站访问权限。以下列表包含基于您的身份验证方法的默认端口。
| 身份验证方法 | 端口 |
|---|---|
| 通过 SSH 密钥对访问 Git | 22 |
| 通过 Cookiefile 访问 Git | 443 |
| 使用个人访问令牌访问 Git 或 Helm | 443 |
| 使用 Google Cloud 服务账号访问 Git | 443 |
通过 gcenode 访问 OCI 或 Helm |
443 |
通过 gcpserviceaccount 和 Workload Identity 访问 OCI 或 Helm |
443 |
安装说明
如需使 Config Sync 能够从可信来源同步 Kubernetes 配置文件,请按照 Config Sync 文档中的安装说明进行操作。
如需使 Policy Controller 能够审核和强制执行准入控制政策,请按照政策控制器文档中的安装说明进行操作。
后续步骤
了解如何将配置添加到可信来源。