Panoramica di Policy Controller

Questa pagina spiega cos'è Policy Controller e come utilizzarlo per garantire che i cluster e i carichi di lavoro Kubernetes vengano eseguiti in modo sicuro e conforme.

Policy Controller consente l'applicazione e l'applicazione dei criteri programmabili per i tuoi cluster Kubernetes. Questi criteri fungono da barriere e possono aiutarti con le best practice, la sicurezza e la gestione della conformità dei tuoi cluster e del tuo parco risorse. Basato sul progetto open source Open Policy Agent Gatekeeper, Policy Controller è completamente integrato con Google Cloud, include una dashboard integrata per l'osservabilità e viene fornito con una libreria completa di criteri predefiniti per i controlli di sicurezza e conformità più comuni.

Policy Controller è disponibile con una licenza della versione Google Kubernetes Engine (GKE) Enterprise.

Vantaggi di Policy Controller

• Integrazione con Google Cloud: gli amministratori di piattaforma possono installare Policy Controller utilizzando la console Google Cloud, Terraform o Google Cloud CLI su qualsiasi cluster connesso al parco risorse. Policy Controller funziona con altri servizi Google Cloud come Config Sync, metrics e Cloud Monitoring.
• Supporta più punti di applicazione: oltre al controllo sia di controllo che di ammissione per il cluster, Policy Controller può facoltativamente abilitare un approccio Shift-left per analizzare e rilevare le modifiche non conformi prima dell'applicazione.
• Pacchetti di criteri predefiniti: Policy Controller include una libreria completa di criteri predefiniti per i controlli di sicurezza e conformità più comuni. Includono sia i bundle di criteri, creati e gestiti da Google, sia la libreria dei modelli di vincolo.
• Supporta i criteri personalizzati: se è necessaria la personalizzazione dei criteri oltre a quella disponibile utilizzando la libreria dei modelli di vincolo, Policy Controller supporta inoltre lo sviluppo di modelli di vincolo personalizzati.
• Osservabilità integrata: Policy Controller include una dashboard della console Google Cloud, che fornisce una panoramica dello stato di tutti i criteri applicati al tuo parco risorse (inclusi i cluster non registrati). Nella dashboard puoi visualizzare lo stato di conformità e di applicazione delle norme al fine di correggere i problemi e ricevere suggerimenti utili per risolvere le violazioni delle norme.

Pacchetti di criteri

Puoi utilizzare i pacchetti di criteri per applicare una serie di vincoli raggruppati in base a uno specifico tema Kubernetes standard, di sicurezza o di conformità. Questi pacchetti di criteri sono creati e gestiti da Google e sono quindi pronti per essere utilizzati senza dover scrivere codice. Ad esempio, puoi utilizzare i seguenti pacchetti di criteri:

• Applica molti degli stessi requisiti di PodSecurityPolicies, ma con la possibilità di controllare la configurazione prima di applicarla, assicurandoti che eventuali modifiche ai criteri non influiscano sull'esecuzione dei carichi di lavoro.
• Utilizza i vincoli compatibili con Anthos Service Mesh per controllare la conformità delle best practice e delle vulnerabilità di sicurezza del tuo mesh.
• Applica best practice generali alle risorse del cluster per rafforzare la tua strategia di sicurezza. Questo bundle è utilizzato anche nella funzionalità Prova prima di acquistare di Policy Controller, per consentirti di provare questo insieme di criteri di base on demand senza costi aggiuntivi.

La panoramica dei bundle Policy Controller fornisce ulteriori dettagli e un elenco dei pacchetti di criteri attualmente disponibili.

Vincoli

Policy Controller applica la conformità dei cluster utilizzando oggetti denominati vincoli. I vincoli possono essere considerati come i "componenti di base" delle norme. Ogni vincolo definisce una modifica specifica all'API Kubernetes consentita o non consentita nel cluster a cui è applicato. Puoi impostare criteri per bloccare attivamente le richieste API non conformi o per controllare la configurazione dei tuoi cluster e segnalare le violazioni. In entrambi i casi, puoi visualizzare i messaggi di avviso con i dettagli di quale violazione si è verificata in un cluster. Con queste informazioni, puoi risolvere i problemi. Ad esempio, puoi utilizzare i seguenti vincoli individuali:

• Richiedi che ogni spazio dei nomi abbia almeno un'etichetta. Questo vincolo può essere utilizzato per garantire un monitoraggio accurato del consumo di risorse quando si utilizza la misurazione dell'utilizzo di GKE, ad esempio.
• Limita i repository da cui è possibile estrarre una determinata immagine container. Questo vincolo garantisce che qualsiasi tentativo di pull dei container da origini sconosciute venga negato, proteggendo i cluster dall'esecuzione di software potenzialmente dannoso.
• Specifica se un container può essere eseguito in modalità con privilegi. Questo vincolo controlla la capacità di qualsiasi container di abilitare la modalità con privilegi, offrendoti così il controllo su quali container (se presenti) possono essere eseguiti con un criterio senza restrizioni.

Questi sono solo alcuni dei vincoli forniti nella libreria dei modelli di vincolo inclusa in Policy Controller. che contiene numerosi criteri che puoi utilizzare per applicare le best practice e limitare i rischi. Se hai bisogno di una maggiore personalizzazione oltre a quanto disponibile nella libreria dei modelli di vincolo, puoi anche creare modelli di vincolo personalizzati.

I vincoli possono essere applicati direttamente ai cluster utilizzando l'API Kubernetes oppure distribuiti a un set di cluster da una fonte attendibile utilizzando Config Sync.

Passaggi successivi

• Prova Policy Controller senza costi aggiuntivi.
• Installa Policy Controller.
• Scopri di più sui pacchetti di criteri.
• Applicare pacchetti di criteri