コンテンツに移動
Containers & Kubernetes

Policy Controller ダッシュボード: Anthos と GKE のすべての環境で利用可能に

2023年5月24日
Google Cloud Japan Team

※この投稿は米国時間 2023 年 5 月 17 日に、Google Cloud blog に投稿されたものの抄訳です。

Kubernetes を大規模に利用しているお客様は、セキュリティ、リソース管理、柔軟性を向上させ、製品化までの時間の短縮と運用効率の向上を達成するために、環境全体のリソース使用状況について一貫したガードレールを必要とされています。

また、クラスタのフリートに対する適用ステータス、違反、修正の推奨事項など、ポリシー ガードレールを簡単に適用、表示できる方法も求められています。そこで Google は 2023 年 1 月、すぐに使えるポリシー バンドルが付属した Policy Controller ダッシュボードをリリースしました。そしてこのたび、Policy Controller ダッシュボードをすべての Google Kubernetes Engine(GKE)と Anthos 環境(オンプレミス、マルチクラウド、接続クラスタ)でご利用いただけるようになりました。このダッシュボードでは、違反の修正に役立つ優れたフローが利用できます。

Policy Controller を使用すると、ガードレールとして機能する完全にプログラム可能なポリシーをクラスタ リソースに適用し、セキュリティ、運用、またはコンプライアンスの管理に違反する変更を防止できます。Policy Controller は、デベロッパーが迅速かつ安全にコードをリリースできるようにすることで、アプリケーションのモダナイゼーションへの取り組みを加速させます。Policy Controller で監査、適用できるポリシーの例をいくつか以下にご紹介します。

  • すべてのコンテナ イメージは承認されたリポジトリから取得する必要がある

  • すべての Ingress ホスト名はグローバルに一意である必要がある

  • すべての Pod にはリソース制限が必要である

  • すべての名前空間には、連絡先を一覧表示したラベルが必要である

  • クラスタのフリートで実行されているリソースは CIS Kubernetes Benchmark に準拠している必要がある

  • クラスタのフリートで実行されているリソースは PCI DSS ベンチマークに準拠している必要がある

Policy Controller ダッシュボード

一方、プラットフォームとセキュリティ管理者は Policy Controller ダッシュボードを使用して、次のことができます。

  • 適用ステータス(dryrun、warn、enforced)など、クラスタのフリートに適用されたすべてのポリシーの状態を一目で確認

  • 各違反に対する独自の推奨事項を参照することで、ポリシー違反を容易にトラブルシューティングして解決

  • クラスタ リソースのコンプライアンス ステータスを可視化

Policy Controller ダッシュボードは、ユーザー フレンドリーで直感的に操作できるよう設計されているため、あらゆるスキルレベルのユーザーがクラスタのフリートに対する違反を簡単に管理、モニタリングできます。これにより、ポリシー違反の状況を一元的に把握し、必要に応じて対処することが可能になります。

https://storage.googleapis.com/gweb-cloudblog-publish/images/blog-image-1_S9Uu51u.max-1500x1500.png

上のダッシュボードの円形グラフには、Policy Controller のインストール全般のステータス、違反しているクラスタ、クラスタのフリート全体に適用されているポリシーの合計など、すべての環境にわたるポリシーの状態が表示されます。違反措置は、ポリシーに照らしてリソースを監査しているだけなのか、クラスタの承認時にポリシーを適用しているのかを示します。

Policy Controller ダッシュボード ページの下部には、フリートのポリシー バンドルごとのカバレッジが示され、該当バンドルに準拠しているリソースや違反しているリソースの割合が分けて表示されます。

  • 棒グラフが完全にグレー表示されている場合、このクラスタのフリートにバンドルは適用されていません。棒グラフの一部がグレー表示されている場合、フリート内の 1 つ以上のクラスタにバンドルが適用されていません。

  • バンドルが 1 つ以上適用されている場合、リソースの全体的なコンプライアンスはバンドルに対して計算されます。棒グラフの青色の部分はポリシーに準拠しているリソースを示し、オレンジ色の部分は違反を表します。

各バンドルの違反リンクをクリックすると、下の画像に示されている詳細な [違反] タブが表示されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/blog-image-2.max-1700x1700.png
新しい [違反] タブを使うと、ご利用の環境でポリシー違反を簡単に表示して把握できます。

[違反] タブでは、クラスタ、バンドル、リソースの種類などに基づいて違反をフィルタできます。さらに、制約と名前空間ごとに違反をグループ化して、さまざまなユーザー ペルソナがジョブの実行を効率化できるようになりました。いずれかのグループの制約リンクをユーザーがクリックすると、以下のように [制約] ビューが表示されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/blog-image-3.max-1500x1500.png
[制約の詳細] タブには、修正の対応案と制約 YAML が表示されます。

[制約の詳細] タブには制約の説明が表示されます。また、推奨される対応も示されるため、制約および影響を受けるリソースに対する違反を修正できます。クラスタ上に存在する制約の YAML を表示することもできます。[影響を受けるリソース] タブには、制約に違反しているすべてのリソースと詳細なエラー メッセージが下の図のように一覧表示されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/blog-image-4.max-1600x1600.png
[影響を受けるリソース] タブに、違反しているリソースが表示されています。

今すぐ使用を開始する

Google は使いやすさ、すぐに使えるコンテンツ、Google Cloud 機能のさらなる統合に重点を置いて、GKE と Anthos のフルマネージド ポリシー機能の構築に投資を続けています。Policy Controller の使用を開始するには、Policy Controller をインストールし、CIS Kubernetes Benchmark などの基準に照らしてクラスタのフリートを監査するためにポリシー バンドルを適用してみてください。また、Policy Essentials バンドルに照らしてクラスタを監査するために、Policy Controller をご試用いただけます。Policy Controller の最新機能については、次回のブログ投稿で詳しくご紹介します。ぜひ Next ’23 に参加して詳細をご確認ください。

- Google Cloud、プロダクト マネージャー Poonam Lamba

投稿先