Visão geral da API Organization Policy

A API Organization Policy usa recursos personalizados do Kubernetes e depende do modelo de recursos do Kubernetes (KRM). Ele é usado para gerenciar o ciclo de vida das políticas da organização, como criação, atualização e exclusão.

Para usar a API Organization Policy, recomendamos que você use a CLI do Kubernetes kubectl. Se o aplicativo precisar usar as próprias bibliotecas para chamar essa API, use o exemplo a seguir, a definição completa da API e a página dedicada de correspondência de política para criar suas solicitações.

Endpoint de serviço e documento de descoberta

O endpoint de API Organization Policy é: https://MANAGEMENT_API_SERVER_ENDPOINT/apis/constraints.gatekeeper.sh/v1beta1 em que MANAGEMENT_API_SERVER_ENDPOINT é o endpoint do servidor da API Management.

Usando o comando kubectl proxy, é possível acessar esse URL no navegador ou com uma ferramenta como curl para receber o documento de descoberta da API Organization Policy. O comando kubectl proxy abre um proxy para o servidor da API Kubernetes na sua máquina local. Depois que esse comando estiver em execução, acesse o documento no seguinte URL: http://127.0.0.1:8001/apis/constraints.gatekeeper.sh/v1beta1.

Exemplo de KRM

Confira a seguir um exemplo de objeto GDCHRestrictedServices na API Organization Policy para restringir o uso dos serviços de banco de dados a projetos com o rótulo owner: dba-team.

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: db-restricted-to-dbas
spec:
  match:
    scope: Namespaced
    namespaceSelector:
      matchExpressions:
      # We are restricting the use of the service in namespaces that
      # DON'T have the owner: dba-team label
      - key: owner
        operator: NotIn
        values:
        - dba-team
    kinds:
    - apiGroups:
      - "postgresql.ods.anthosapis.com"
      kinds:
      - Dbclusters
      - Backupplans
      - Imports
      - Restores
    - apiGroups:
      - "oracle.ods.anthosapis.com"
      kinds:
      - Dbclusters
      - Backupplans
      - Imports
  parameters:
    disabledOperations:
      - "UPDATE"
      - "CREATE"