Questa pagina è stata tradotta dall'API Cloud Translation.

Limitare le azioni sulle risorse GKE utilizzando criteri dell'organizzazione personalizzati

Autopilot Standard

Questa pagina mostra come limitare operazioni specifiche sulle risorse Google Kubernetes Engine (GKE) della tua organizzazione utilizzando vincoli personalizzati nel servizio Google Cloud Organization Policy. Per scoprire di più su Criteri dell'organizzazione, consulta Criteri dell'organizzazione personalizzati.

Informazioni sui criteri e sui vincoli dell'organizzazione

I criteri dell'organizzazione Google Cloud ti offrono un controllo centralizzato e programmatico sulle risorse della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi definire un criterio dell'organizzazione, ovvero un insieme di limitazioni chiamate vincoli che si applicano alle risorse Google Cloud e ai discendenti di queste risorse nella gerarchia delle risorse Google Cloud. Puoi applicare i criteri dell'organizzazione a livello di organizzazione, cartella o progetto.

I criteri dell'organizzazione forniscono vincoli predefiniti per vari servizi Google Cloud. Tuttavia, se vuoi un controllo più granulare e personalizzabile sui campi specifici limitati nei criteri dell'organizzazione, puoi anche creare vincoli personalizzati e utilizzarli in un criterio dell'organizzazione personalizzato.

Risorse supportate in GKE

Per GKE, puoi creare vincoli personalizzati per i metodi CREATE o UPDATE su qualsiasi campo della risorsa Cluster o NodePool dell'API Google Kubernetes Engine v1, tranne per i campi solo di output e per i seguenti campi:

projects.locations.clusters.masterAuth.clientKey
projects.locations.clusters.masterAuth.password

Ereditarietà dei criteri

Per impostazione predefinita, i criteri vengono ereditati dai discendenti delle risorse su cui li applichi. Ad esempio, se applichi un criterio a una cartella, Google Cloud lo applica a tutti i progetti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta le Regole di valutazione gerarchica.

Prezzi

I criteri e i vincoli dell'organizzazione sono offerti senza costi.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:

Attiva l'API Google Kubernetes Engine.

Attiva l'API Google Kubernetes Engine

Se vuoi utilizzare Google Cloud CLI per questa attività, installa e poi inizializza gcloud CLI. Se hai già installato gcloud CLI, ottieni la versione più recente eseguendo gcloud components update.
Nota: per le installazioni esistenti di gcloud CLI, assicurati di impostare le proprietà compute/region e compute/zone. Se imposti le posizioni predefinite, puoi evitare errori in gcloud CLI come il seguente: One of [--zone, --region] must be supplied: Please specify location.

Per ottenere le autorizzazioni necessarie per creare vincoli e applicare i criteri dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin) nella tua organizzazione Google Cloud. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Assicurati di conoscere il ID organizzazione.

Creare un vincolo personalizzato

Per creare una nuova limitazione personalizzata, devi definirla in un file YAML e poi applicarla alla tua organizzazione utilizzando Google Cloud CLI.

Crea un file YAML per il vincolo personalizzato:
```
name: organizations/ORGANIZATION_ID/customConstraints/custom.CONSTRAINT_NAME
resourceTypes:
- container.googleapis.com/RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "resource.OBJECT_NAME.FIELD_NAME == VALUE"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
```
Sostituisci quanto segue:
- ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio 123456789.
- CONSTRAINT_NAME: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempio custom.enableGkeAutopilot. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempio organizations/123456789/customConstraints/custom..
- RESOURCE_NAME: il nome (non l'URI) della risorsa REST dell'API GKE contenente l'oggetto e il campo che vuoi limitare. Ad esempio, Cluster o NodePool.
- METHOD1,METHOD2,...: un elenco di metodi RESTful per i quali applicare la limitazione. Può essere CREATE o CREATE e UPDATE.
- condition: la condizione in base alla quale convalidare la richiesta, scritta in Common Expression Language (CEL). Questo campo ha una lunghezza massima di 1000 caratteri. L'espressione deve contenere i seguenti campi e supportare operatori logici come && e ||:
  - OBJECT_NAME: il nome dell'oggetto dell'API GKE che vuoi limitare, in formato PascalCase. Ad esempio: privateClusterConfig.
  - FIELD_NAME: il nome del campo dell'API GKE che vuoi limitare, in formattazione PascalCase. Ad esempio: enablePrivateNodes.
  - VALUE: il valore del campo. Per i campi booleani, utilizza true o false. Per i campi di stringa, utilizza "STRING".
- ACTION: l'azione da intraprendere se viene soddisfatto il criterio condition. Può essere ALLOW o DENY.
- DISPLAY_NAME: un nome facile da ricordare per la limitazione. Questo campo ha una lunghezza massima di 200 caratteri.
- DESCRIPTION: una descrizione comprensibile del vincolo da visualizzare come messaggio di errore in caso di violazione del criterio. Questo campo ha una lunghezza massima di 2000 caratteri.
Applica il vincolo personalizzato:
```
gcloud org-policies set-custom-constraint PATH_TO_FILE
```
Sostituisci PATH_TO_FILE con il percorso del file della definizione del vincolo personalizzato.

Verifica che il vincolo personalizzato esista:

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

L'output è simile al seguente:

CONSTRAINT                     LIST_POLICY    BOOLEAN_POLICY    ETAG
custom.enableGkeAutopilot      -              SET               COCsm5QGENiXi2E=
...

Applica il vincolo personalizzato

Per applicare il nuovo vincolo personalizzato, crea un criterio dell'organizzazione che fa riferimento al vincolo, quindi applicalo.

Crea un file YAML per il criterio dell'organizzazione:
```
name: RESOURCE_HIERARCHY/policies/POLICY_NAME
spec:
  rules:
  - enforce: true
```
Sostituisci quanto segue:
- RESOURCE_HIERARCHY: la posizione della nuova norma, che influisce sull'ambito dell'applicazione. Utilizza la gerarchia delle risorse Google Cloud come guida. Ad esempio, se volevi applicare il criterio in un progetto specifico, utilizza projects/PROJECT_ID. Per applicare il criterio in un'organizzazione specifica, utilizzaorganizations/ORGANIZATION_ID.
- POLICY_NAME: il nome della nuova norma.
Applicare il criterio:
```
gcloud org-policies set-policy PATH_TO_POLICY
```
Sostituisci PATH_TO_POLICY con il percorso del file di definizione del criterio.

Verifica che il criterio esista:

gcloud org-policies list \
    --RESOURCE_FLAG=RESOURCE_ID

Sostituisci quanto segue:

RESOURCE_FLAG: la risorsa Google Cloud in cui hai applicato il criterio. Ad esempio, project o folder.
RESOURCE_ID: l'ID della risorsa in cui hai applicato le norme. Ad esempio, l'ID della cartella Google Cloud.

Per un elenco degli argomenti, consulta gcloud org-policies list.

L'output è simile al seguente:

CONSTRAINT                                    LIST_POLICY    BOOLEAN_POLICY    ETAG
iam.disableWorkloadIdentityClusterCreation    -              SET               CO3UkJAGEOj1qsQB
custom.enableGkeAutopilot                     -              SET               COCsm5QGENiXi2E=
custom.enableBinAuth                          -              SET               CJfKiZUGEJju7LUD

Esempio: creare un vincolo personalizzato e applicare una norma

L'esempio seguente crea un vincolo e un criterio personalizzati che richiedono che tutti i nuovi cluster di un progetto specifico siano cluster Autopilot.

Prima di iniziare, devi sapere quanto segue:

Il tuo ID organizzazione
Un ID progetto

Crea il vincolo

Salva il seguente file come constraint-enable-autopilot.yaml:

name: organizations/ORGANIZATION_ID/customConstraints/custom.enableGkeAutopilot
resourceTypes:
- container.googleapis.com/Cluster
methodTypes:
- CREATE
condition: "resource.autopilot.enabled == false"
actionType: DENY
displayName: Enable GKE Autopilot
description: All new clusters must be Autopilot clusters.

Questo definisce un vincolo in cui per ogni nuovo cluster, se la modalità del cluster non è Autopilot, l'operazione viene rifiutata.

Applica il vincolo:

gcloud org-policies set-custom-constraint ~/constraint-enable-autopilot.yaml

Verifica che il vincolo esista:

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

L'output è simile al seguente:

CUSTOM_CONSTRAINT                       ACTION_TYPE  METHOD_TYPES   RESOURCE_TYPES                     DISPLAY_NAME
custom.enableGkeAutopilot               DENY         CREATE         container.googleapis.com/Cluster   Enable GKE Autopilot
...

Crea il criterio

Salva il seguente file come policy-enable-autopilot.yaml:

name: projects/PROJECT_ID/policies/custom.enableGkeAutopilot
spec:
  rules:
  - enforce: true

Sostituisci PROJECT_ID con l'ID progetto.

Applica il criterio:

gcloud org-policies set-policy ~/policy-enable-autopilot.yaml

Verifica che il criterio esista:

gcloud org-policies list --project=PROJECT_ID

L'output è simile al seguente:

CONSTRAINT                  LIST_POLICY    BOOLEAN_POLICY    ETAG
custom.enableGkeAutopilot   -              SET               COCsm5QGENiXi2E=

Dopo aver applicato il criterio, attendi circa due minuti affinché Google Cloud inizi a applicarlo.

Testa il criterio

Prova a creare un cluster GKE Standard nel progetto:

gcloud container clusters create org-policy-test \
    --project=PROJECT_ID \
    --zone=COMPUTE_ZONE \
    --num-nodes=1

L'output è il seguente:

Operation denied by custom org policies: ["customConstraints/custom.enableGkeAutopilot": "All new clusters must be Autopilot clusters."]

Esempi di vincoli personalizzati per casi d'uso comuni

Le sezioni seguenti forniscono la sintassi di alcuni vincoli personalizzati che potresti trovare utili:

Descrizione	Sintassi dei vincoli
Consenti la creazione di cluster solo quando è attiva l'autorizzazione binaria	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.gkeBinaryAuthorization resourceTypes: - container.googleapis.com/Cluster methodTypes: - CREATE condition: "condition:resource.binaryAuthorization.enabled == true \|\| resource.binaryAuthorization.evaluationMode=='PROJECT_SINGLETON_POLICY_ENFORCE'" action: ALLOW displayName: Enable GKE Binary Authorization description: All new clusters must enable Binary Authorization.
Non disattivare l'upgrade automatico dei nodi per i nuovi pool di nodi	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.enableAutoUpgrade resourceTypes: - container.googleapis.com/NodePool methodTypes: - CREATE condition: "resource.management.autoUpgrade == true" actionType: ALLOW displayName: Enable node auto-upgrade description: All node pools must have node auto-upgrade enabled.
Abilita Workload Identity Federation for GKE per i nuovi cluster	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.enableWorkloadIdentity resourceTypes: - container.googleapis.com/Cluster methodTypes: - CREATE condition: "has(resource.workloadIdentityConfig.workloadPool) \|\| resource.workloadIdentityConfig.workloadPool.size() > 0" actionType: ALLOW displayName: Enable Workload Identity on new clusters description: All new clusters must use Workload Identity.
Non disattivare Cloud Logging sui cluster esistenti	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.enableLogging resourceTypes: - container.googleapis.com/Cluster methodTypes: - UPDATE condition: "resource.loggingService == 'none'" actionType: DENY displayName: Do not disable Cloud Logging description: You cannot disable Cloud Logging on existing GKE cluster.
Consenti la creazione o l'aggiornamento di un pool di nodi standard solo quando gli endpoint dei metadati legacy sono disabilitati	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.nodeConfigMetadata resourceTypes: - container.googleapis.com/NodePool methodTypes: - CREATE - UPDATE condition: "'disable-legacy-endpoints' in resource.config.metadata && resource.config.metadata['disable-legacy-endpoints'] == 'true'" actionType: ALLOW displayName: Disable legacy metadata endpoints description: You can only create or update node pools if you disable legacy metadata endpoints. Questo esempio di vincolo mostra come impostare un vincolo personalizzato su un valore mappa. Il campo `condition` utilizza l'operatore di indice sulla chiave mappa `disable-legacy-endpoints`. Se utilizzi invece la sintassi di selezione dei campi normale, come negli esempi precedenti, viene visualizzato un errore `INVALID_CUSTOM_CONSTRAINT_CONDITION`.

Limitare le azioni sulle risorse GKE utilizzando criteri dell'organizzazione personalizzati

Informazioni sui criteri e sui vincoli dell'organizzazione

Risorse supportate in GKE

Ereditarietà dei criteri

Prezzi

Prima di iniziare

Creare un vincolo personalizzato

Applica il vincolo personalizzato

Esempio: creare un vincolo personalizzato e applicare una norma

Crea il vincolo

Crea il criterio

Testa il criterio

Esempi di vincoli personalizzati per casi d'uso comuni

Passaggi successivi