Descripción general de Policy Controller

En esta página, se explica qué es el controlador de políticas y cómo puedes usarlo para garantizar que tus clústeres y cargas de trabajo de Kubernetes se ejecuten de manera segura y que cumpla con las normas.

El controlador de políticas permite la aplicación de políticas programables para tus clústeres de Kubernetes. Estas políticas actúan como recursos de seguridad y pueden ayudar con las prácticas recomendadas, la seguridad y la administración del cumplimiento de los clústeres y la flota. Según el proyecto de código abierto Open Policy Agent Gatekeeper, Policy Controller está completamente integrado en Google Cloud, incluye un panel integrado para la observabilidad y, además, viene con una biblioteca completa de políticas compiladas con anterioridad para controles comunes de seguridad y cumplimiento.

Policy Controller está disponible con una licencia de Google Kubernetes Engine (GKE) Enterprise.

Beneficios de Policy Controller

  • Integrado en Google Cloud: Los administradores de la plataforma pueden instalar el controlador de políticas mediante la consola de Google Cloud, Terraform o Google Cloud CLI en cualquier clúster conectado a tu flota. El controlador de políticas funciona con otros servicios de Google Cloud, como el Sincronizador de configuración, las metrics y Cloud Monitoring.
  • Admite varios puntos de aplicación: además de la auditoría y el control de admisión para tu clúster, Policy Controller puede habilitar de manera opcional un enfoque de cambio de izquierda a la izquierda para analizar y detectar los cambios que no cumplen con las políticas antes de la aplicación.
  • Paquetes de políticas compilados previamente: El Controlador de políticas viene con una biblioteca completa de políticas compiladas con anterioridad para controles comunes de seguridad y cumplimiento. Estos incluyen los paquetes de políticas, que Google compila y mantiene, y la biblioteca de plantillas de restricciones.
  • Admite políticas personalizadas: Si se requiere la personalización de políticas más allá de lo que está disponible mediante la biblioteca de plantillas de restricciones, el controlador de políticas también admite el desarrollo de plantillas de restricciones personalizadas.
  • Observabilidad integrada: Policy Controller incluye un panel de la consola de Google Cloud, que proporciona una descripción general del estado de todas las políticas que se aplican a tu flota (incluidos los clústeres no registrados). En el panel, consulta el estado de cumplimiento y aplicación de políticas para solucionar problemas y obtén recomendaciones bien definidas que te permitan resolver incumplimientos de políticas.

Paquetes de políticas

Puedes usar paquetes de políticas para aplicar una serie de restricciones que se agrupan según un tema específico de estándar, seguridad o cumplimiento de Kubernetes. Google compila y mantiene estos paquetes de políticas y, por lo tanto, están listos para que los uses sin tener que escribir ningún código. Por ejemplo, puedes usar los siguientes paquetes de políticas:

La descripción general de los paquetes de Policy Controller proporciona más detalles y una lista de los paquetes de políticas disponibles actualmente.

Restricciones

Policy Controller aplica el cumplimiento de los clústeres con objetos llamados restricciones. Puedes considerar a las restricciones como los "componentes básicos" de la política. Cada restricción define un cambio específico en la API de Kubernetes que se permite o no en el clúster al que se aplica. Puedes establecer políticas para bloquear de forma activa las solicitudes a la API que no cumplan con las políticas o auditar la configuración de tus clústeres y, luego, informar sobre infracciones. En cualquier caso, puedes ver mensajes de advertencia con detalles sobre el incumplimiento que ocurrió en un clúster. Con esa información, puedes resolver problemas. Por ejemplo, puedes usar las siguientes restricciones individuales:

Estas son solo algunas de las restricciones que se proporcionan en la biblioteca de plantillas de restricciones incluida con el controlador de políticas. Esta biblioteca contiene varias políticas que puedes usar para aplicar las prácticas recomendadas y limitar el riesgo. Si necesitas más personalización más allá de lo que está disponible en la biblioteca de plantillas de restricciones, también puedes crear plantillas de restricciones personalizadas.

Las restricciones se pueden aplicar directamente a tus clústeres mediante la API de Kubernetes o se pueden distribuir a un conjunto de clústeres desde una fuente de información mediante el Sincronizador de configuración.

¿Qué sigue?