Questa pagina mostra come limitare operazioni specifiche sulle risorse Google Kubernetes Engine (GKE) nella tua organizzazione utilizzando vincoli personalizzati nel servizio criteri dell'organizzazione di Google Cloud. Per scoprire di più sui criteri dell'organizzazione, consulta Criteri dell'organizzazione personalizzati.
Informazioni sui criteri e sui vincoli dell'organizzazione
Il criterio dell'organizzazione di Google Cloud offre un controllo centralizzato e programmatico sulle risorse dell'organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi definire un criterio dell'organizzazione, ovvero un insieme di limitazioni chiamate vincoli che si applica alle risorse Google Cloud e ai discendenti di queste risorse nella gerarchia delle risorse di Google Cloud. Puoi applicare i criteri dell'organizzazione a livello di organizzazione, cartella o progetto.
Criterio dell'organizzazione fornisce vincoli predefiniti per vari servizi Google Cloud. Tuttavia, se vuoi un controllo più granulare e personalizzabile sui campi specifici limitati nei criteri dell'organizzazione, puoi anche creare vincoli personalizzati e utilizzarli in un criterio dell'organizzazione personalizzato.
Risorse supportate in GKE
Per GKE, puoi creare vincoli personalizzati per i metodi CREATE
o UPDATE
in qualsiasi campo nella risorsa Cluster
o NodePool
dell'API Google Kubernetes Engine v1, ad eccezione dei campi di solo output e dei seguenti campi:
projects.locations.clusters.masterAuth.clientKey
projects.locations.clusters.masterAuth.password
Ereditarietà dei criteri
Per impostazione predefinita, i criteri vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio a una cartella, Google Cloud applica il criterio a tutti i progetti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.
Prezzi
I criteri e i vincoli dell'organizzazione sono offerti senza costi aggiuntivi.
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti attività:
- Abilita l'API Google Kubernetes Engine. Abilita l'API Google Kubernetes Engine
- Se vuoi utilizzare Google Cloud CLI per questa attività, installa e initialize gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo
gcloud components update
.
-
Per ottenere le autorizzazioni necessarie per creare vincoli e applicare i criteri dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore criteri organizzazione (
roles/orgpolicy.policyAdmin
) per la tua organizzazione Google Cloud. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
- Assicurati di conoscere l'ID organizzazione.
Crea un vincolo personalizzato
Per creare un nuovo vincolo personalizzato, devi definirlo in un file YAML e applicarlo nella tua organizzazione utilizzando Google Cloud CLI.
Crea un file YAML per il vincolo personalizzato:
name: organizations/ORGANIZATION_ID/customConstraints/custom.CONSTRAINT_NAME resourceTypes: - container.googleapis.com/RESOURCE_NAME methodTypes: - METHOD1 - METHOD2 condition: "resource.OBJECT_NAME.FIELD_NAME == VALUE" actionType: ACTION displayName: DISPLAY_NAME description: DESCRIPTION
Sostituisci quanto segue:
ORGANIZATION_ID
: l'ID organizzazione, ad esempio123456789
.CONSTRAINT_NAME
: il nome del nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare concustom.
e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempiocustom.enableGkeAutopilot
. La lunghezza massima di questo campo è 70 caratteri, senza contare il prefisso, ad esempioorganizations/123456789/customConstraints/custom.
.RESOURCE_NAME
: il nome (non l'URI) della risorsa REST dell'API GKE contenente l'oggetto e il campo che vuoi limitare. Ad esempio,Cluster
oNodePool
.METHOD1,METHOD2,...
: un elenco di metodi RESTful per cui applicare il vincolo. Può essereCREATE
oCREATE
eUPDATE
.condition
: la condizione per convalidare la richiesta contro, scritta in Common Expression Language (CEL). Questo campo ha una lunghezza massima di 1000 caratteri. L'espressione deve contenere i campi seguenti e supportare operatori logici come&&
e||
:OBJECT_NAME
: il nome dell'oggetto dell'API GKE che vuoi limitare, nella formattazione pascalCase. Ad esempio:privateClusterConfig
.FIELD_NAME
: il nome del campo dell'API GKE che vuoi limitare, nella formattazione pascalCase. Ad esempio:enablePrivateNodes
.VALUE
: il valore del campo. Per i campi booleani, utilizzatrue
ofalse
. Per i campi stringa, utilizza"STRING"
.
ACTION
: l'azione da eseguire secondition
viene soddisfatto. Il valore può essereALLOW
oDENY
.DISPLAY_NAME
: un nome intuitivo per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri.DESCRIPTION
: una descrizione intuitiva del vincolo da mostrare come messaggio di errore quando viene violata la norma. Questo campo ha una lunghezza massima di 2000 caratteri.
Applica il vincolo personalizzato:
gcloud org-policies set-custom-constraint PATH_TO_FILE
Sostituisci
PATH_TO_FILE
con il percorso file della definizione del vincolo personalizzato.Verifica l'esistenza del vincolo personalizzato:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
L'output è simile al seguente:
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.enableGkeAutopilot - SET COCsm5QGENiXi2E= ...
Applica il vincolo personalizzato
Per applicare il nuovo vincolo personalizzato, crea un criterio dell'organizzazione che faccia riferimento al vincolo, quindi applicalo.
Crea un file YAML per il criterio dell'organizzazione:
name: RESOURCE_HIERARCHY/policies/POLICY_NAME spec: rules: - enforce: true
Sostituisci quanto segue:
RESOURCE_HIERARCHY
: la località della nuova norma, che influisce sull'ambito di applicazione. Utilizzare la gerarchia delle risorse di Google Cloud come guida. Ad esempio, se vuoi applicare il criterio in un progetto specifico, utilizzaprojects/PROJECT_ID
. Per applicare il criterio in un'organizzazione specifica, utilizzaorganizations/ORGANIZATION_ID
.POLICY_NAME
: il nome del nuovo criterio.
Applicare il criterio:
gcloud org-policies set-policy PATH_TO_POLICY
Sostituisci
PATH_TO_POLICY
con il percorso del file di definizione dei criteri.Verifica che il criterio esista:
gcloud org-policies list \ --RESOURCE_FLAG=RESOURCE_ID
Sostituisci quanto segue:
RESOURCE_FLAG
: la risorsa Google Cloud in cui hai applicato il criterio. Ad esempio,project
ofolder
.RESOURCE_ID
: l'ID della risorsa in cui hai applicato il criterio. ad esempio l'ID cartella di Google Cloud.
Per un elenco di argomenti, consulta
gcloud org-policies list
.L'output è simile al seguente:
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG iam.disableWorkloadIdentityClusterCreation - SET CO3UkJAGEOj1qsQB custom.enableGkeAutopilot - SET COCsm5QGENiXi2E= custom.enableBinAuth - SET CJfKiZUGEJju7LUD
Esempio: creare un vincolo personalizzato e applicare un criterio
L'esempio seguente crea un vincolo e un criterio personalizzati che richiede che tutti i nuovi cluster in un progetto specifico siano cluster Autopilot.
Prima di iniziare, tieni presente quanto segue:
- L'ID della tua organizzazione
- Un ID progetto
Crea il vincolo
Salva il seguente file come
constraint-enable-autopilot.yaml
:name: organizations/ORGANIZATION_ID/customConstraints/custom.enableGkeAutopilot resourceTypes: - container.googleapis.com/Cluster methodTypes: - CREATE condition: "resource.autopilot.enabled == false" actionType: DENY displayName: Enable GKE Autopilot description: All new clusters must be Autopilot clusters.
Questo definisce un vincolo in cui per ogni nuovo cluster, se la modalità cluster non è Autopilot, l'operazione viene negata.
Applica il vincolo:
gcloud org-policies set-custom-constraint ~/constraint-enable-autopilot.yaml
Verifica che il vincolo esista:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
L'output è simile al seguente:
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME custom.enableGkeAutopilot DENY CREATE container.googleapis.com/Cluster Enable GKE Autopilot ...
Crea il criterio
Salva il seguente file come
policy-enable-autopilot.yaml
:name: projects/PROJECT_ID/policies/custom.enableGkeAutopilot spec: rules: - enforce: true
Sostituisci
PROJECT_ID
con l'ID progetto.Applica le norme:
gcloud org-policies set-policy ~/policy-enable-autopilot.yaml
Verifica che il criterio esista:
gcloud org-policies list --project=PROJECT_ID
L'output è simile al seguente:
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.enableGkeAutopilot - SET COCsm5QGENiXi2E=
Dopo aver applicato il criterio, attendi circa due minuti per consentire a Google Cloud di iniziare ad applicarlo.
Testa il criterio
Prova a creare un cluster GKE Standard nel progetto:
gcloud container clusters create org-policy-test \
--project=PROJECT_ID \
--zone=COMPUTE_ZONE \
--num-nodes=1
L'output è il seguente:
Operation denied by custom org policies: ["customConstraints/custom.enableGkeAutopilot": "All new clusters must be Autopilot clusters."]
Esempi di vincoli personalizzati per casi d'uso comuni
Le seguenti sezioni forniscono la sintassi di alcuni vincoli personalizzati che potresti trovare utili:
Descrizione | Sintassi del vincolo |
---|---|
Non disabilitare l'upgrade automatico dei nodi per i nuovi pool di nodi |
name: organizations/ORGANIZATION_ID/customConstraints/custom.enableAutoUpgrade resourceTypes: - container.googleapis.com/NodePool methodTypes: - CREATE condition: "resource.management.autoUpgrade == true" actionType: ALLOW displayName: Enable node auto-upgrade description: All node pools must have node auto-upgrade enabled. |
Abilita la federazione di Workload Identity per GKE per i nuovi cluster |
name: organizations/ORGANIZATION_ID/customConstraints/custom.enableWorkloadIdentity resourceTypes: - container.googleapis.com/Cluster methodTypes: - CREATE condition: "has(resource.workloadIdentityConfig.workloadPool) || resource.workloadIdentityConfig.workloadPool.size() > 0" actionType: ALLOW displayName: Enable Workload Identity on new clusters description: All new clusters must use Workload Identity. |
Non disabilitare Cloud Logging sui cluster esistenti |
name: organizations/ORGANIZATION_ID/customConstraints/custom.enableLogging resourceTypes: - container.googleapis.com/Cluster methodTypes: - UPDATE condition: "resource.loggingService == 'none'" actionType: DENY displayName: Do not disable Cloud Logging description: You cannot disable Cloud Logging on existing GKE cluster. |
Consenti la creazione o l'aggiornamento di pool di nodi standard solo quando gli endpoint di metadati legacy sono disabilitati |
name: organizations/ORGANIZATION_ID/customConstraints/custom.nodeConfigMetadata resourceTypes: - container.googleapis.com/NodePool methodTypes: - CREATE - UPDATE condition: "'disable-legacy-endpoints' in resource.config.metadata && resource.config.metadata['disable-legacy-endpoints'] == 'true'" actionType: ALLOW displayName: Disable legacy metadata endpoints description: You can only create or update node pools if you disable legacy metadata endpoints. Questo esempio di vincolo mostra come impostare un vincolo personalizzato su un valore di mappa. Il campo |
Passaggi successivi
- Scopri di più sui vincoli in dettaglio.
- Scopri le opzioni aggiuntive che puoi utilizzare per personalizzare le norme.
- Scopri come impostare i criteri dell'organizzazione basati sui tag.