Limita le azioni sulle risorse GKE utilizzando criteri dell'organizzazione personalizzati

descrizione: Scopri come controllare le azioni su risorse GKE specifiche nella tua organizzazione Google Cloud.

Questa pagina mostra come limitare operazioni specifiche sulle risorse Google Kubernetes Engine (GKE) nella tua organizzazione utilizzando vincoli personalizzati nel servizio criteri dell'organizzazione di Google Cloud. Per scoprire di più sui criteri dell'organizzazione, consulta Criteri dell'organizzazione personalizzati.

Informazioni sui criteri e sui vincoli dell'organizzazione

Il criterio dell'organizzazione di Google Cloud offre un controllo centralizzato e programmatico sulle risorse dell'organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi definire un criterio dell'organizzazione, ovvero un insieme di limitazioni chiamate vincoli che si applica alle risorse Google Cloud e ai discendenti di queste risorse nella gerarchia delle risorse di Google Cloud. Puoi applicare i criteri dell'organizzazione a livello di organizzazione, cartella o progetto.

Criterio dell'organizzazione fornisce vincoli predefiniti per vari servizi Google Cloud. Tuttavia, se vuoi un controllo più granulare e personalizzabile sui campi specifici limitati nei criteri dell'organizzazione, puoi anche creare vincoli personalizzati e utilizzarli in un criterio dell'organizzazione personalizzato.

Risorse supportate in GKE

Per GKE, puoi creare vincoli personalizzati per i metodi CREATE o UPDATE in qualsiasi campo nella risorsa Cluster o NodePool dell'API Google Kubernetes Engine v1, ad eccezione dei campi di solo output e dei seguenti campi:

  • projects.locations.clusters.masterAuth.clientKey
  • projects.locations.clusters.masterAuth.password

Ereditarietà dei criteri

Per impostazione predefinita, i criteri vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio a una cartella, Google Cloud applica il criterio a tutti i progetti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.

Prezzi

I criteri e i vincoli dell'organizzazione sono offerti senza costi aggiuntivi.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

  • Abilita l'API Google Kubernetes Engine.
    • Abilita l'API Google Kubernetes Engine
  • Se vuoi utilizzare Google Cloud CLI per questa attività, installa e initialize gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo gcloud components update.

Crea un vincolo personalizzato

Per creare un nuovo vincolo personalizzato, devi definirlo in un file YAML e applicarlo nella tua organizzazione utilizzando Google Cloud CLI.

  1. Crea un file YAML per il vincolo personalizzato:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.CONSTRAINT_NAME
resourceTypes:
- container.googleapis.com/RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "resource.OBJECT_NAME.FIELD_NAME == VALUE"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID organizzazione, ad esempio 123456789.
    • CONSTRAINT_NAME: il nome del nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempio custom.enableGkeAutopilot. La lunghezza massima di questo campo è 70 caratteri, senza contare il prefisso, ad esempio organizations/123456789/customConstraints/custom..
    • RESOURCE_NAME: il nome (non l'URI) della risorsa REST dell'API GKE contenente l'oggetto e il campo che vuoi limitare. Ad esempio, Cluster o NodePool.
    • METHOD1,METHOD2,...: un elenco di metodi RESTful per cui applicare il vincolo. Può essere CREATE o CREATE e UPDATE.

    • condition: la condizione per convalidare la richiesta contro, scritta in Common Expression Language (CEL). Questo campo ha una lunghezza massima di 1000 caratteri. L'espressione deve contenere i campi seguenti e supportare operatori logici come && e ||:

      • OBJECT_NAME: il nome dell'oggetto dell'API GKE che vuoi limitare, nella formattazione pascalCase. Ad esempio: privateClusterConfig.
      • FIELD_NAME: il nome del campo dell'API GKE che vuoi limitare, nella formattazione pascalCase. Ad esempio: enablePrivateNodes.
      • VALUE: il valore del campo. Per i campi booleani, utilizza true o false. Per i campi stringa, utilizza "STRING".

    • ACTION: l'azione da eseguire se condition viene soddisfatto. Il valore può essere ALLOW o DENY.

    • DISPLAY_NAME: un nome intuitivo per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri.

    • DESCRIPTION: una descrizione intuitiva del vincolo da mostrare come messaggio di errore quando viene violata la norma. Questo campo ha una lunghezza massima di 2000 caratteri.

  2. Applica il vincolo personalizzato:

    gcloud org-policies set-custom-constraint PATH_TO_FILE

    Sostituisci PATH_TO_FILE con il percorso file della definizione del vincolo personalizzato.

  3. Verifica l'esistenza del vincolo personalizzato:

    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    L'output è simile al seguente:

    CONSTRAINT                     LIST_POLICY    BOOLEAN_POLICY    ETAG
custom.enableGkeAutopilot      -              SET               COCsm5QGENiXi2E=
...

Applica il vincolo personalizzato

Per applicare il nuovo vincolo personalizzato, crea un criterio dell'organizzazione che faccia riferimento al vincolo, quindi applicalo.

  1. Crea un file YAML per il criterio dell'organizzazione:

    name: RESOURCE_HIERARCHY/policies/POLICY_NAME
spec:
  rules:
  - enforce: true

    Sostituisci quanto segue:

    • RESOURCE_HIERARCHY: la località della nuova norma, che influisce sull'ambito di applicazione. Utilizzare la gerarchia delle risorse di Google Cloud come guida. Ad esempio, se vuoi applicare il criterio in un progetto specifico, utilizza projects/PROJECT_ID. Per applicare il criterio in un'organizzazione specifica, utilizza organizations/ORGANIZATION_ID.
    • POLICY_NAME: il nome del nuovo criterio.

  2. Applicare il criterio:

    gcloud org-policies set-policy PATH_TO_POLICY

    Sostituisci PATH_TO_POLICY con il percorso del file di definizione dei criteri.

  3. Verifica che il criterio esista:

    gcloud org-policies list \
    --RESOURCE_FLAG=RESOURCE_ID

    Sostituisci quanto segue:

    • RESOURCE_FLAG: la risorsa Google Cloud in cui hai applicato il criterio. Ad esempio, project o folder.
    • RESOURCE_ID: l'ID della risorsa in cui hai applicato il criterio. ad esempio l'ID cartella di Google Cloud.

    Per un elenco di argomenti, consulta gcloud org-policies list.

    L'output è simile al seguente:

    CONSTRAINT                                    LIST_POLICY    BOOLEAN_POLICY    ETAG
iam.disableWorkloadIdentityClusterCreation    -              SET               CO3UkJAGEOj1qsQB
custom.enableGkeAutopilot                     -              SET               COCsm5QGENiXi2E=
custom.enableBinAuth                          -              SET               CJfKiZUGEJju7LUD

Esempio: creare un vincolo personalizzato e applicare un criterio

L'esempio seguente crea un vincolo e un criterio personalizzati che richiede che tutti i nuovi cluster in un progetto specifico siano cluster Autopilot.

Prima di iniziare, tieni presente quanto segue:

  • L'ID della tua organizzazione
  • Un ID progetto

Crea il vincolo

  1. Salva il seguente file come constraint-enable-autopilot.yaml:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableGkeAutopilot
resourceTypes:
- container.googleapis.com/Cluster
methodTypes:
- CREATE
condition: "resource.autopilot.enabled == false"
actionType: DENY
displayName: Enable GKE Autopilot
description: All new clusters must be Autopilot clusters.

    Questo definisce un vincolo in cui per ogni nuovo cluster, se la modalità cluster non è Autopilot, l'operazione viene negata.

  2. Applica il vincolo:

    gcloud org-policies set-custom-constraint ~/constraint-enable-autopilot.yaml

  3. Verifica che il vincolo esista:

    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    L'output è simile al seguente:

    CUSTOM_CONSTRAINT                       ACTION_TYPE  METHOD_TYPES   RESOURCE_TYPES                     DISPLAY_NAME
custom.enableGkeAutopilot               DENY         CREATE         container.googleapis.com/Cluster   Enable GKE Autopilot
...

Crea il criterio

  1. Salva il seguente file come policy-enable-autopilot.yaml:

    name: projects/PROJECT_ID/policies/custom.enableGkeAutopilot
spec:
  rules:
  - enforce: true

    Sostituisci PROJECT_ID con l'ID progetto.

  2. Applica le norme:

    gcloud org-policies set-policy ~/policy-enable-autopilot.yaml

  3. Verifica che il criterio esista:

    gcloud org-policies list --project=PROJECT_ID

    L'output è simile al seguente:

    CONSTRAINT                  LIST_POLICY    BOOLEAN_POLICY    ETAG
custom.enableGkeAutopilot   -              SET               COCsm5QGENiXi2E=

Dopo aver applicato il criterio, attendi circa due minuti per consentire a Google Cloud di iniziare ad applicarlo.

Testa il criterio

Prova a creare un cluster GKE Standard nel progetto:

gcloud container clusters create org-policy-test \
    --project=PROJECT_ID \
    --zone=COMPUTE_ZONE \
    --num-nodes=1

L'output è il seguente:

Operation denied by custom org policies: ["customConstraints/custom.enableGkeAutopilot": "All new clusters must be Autopilot clusters."]

Esempi di vincoli personalizzati per casi d'uso comuni

Le seguenti sezioni forniscono la sintassi di alcuni vincoli personalizzati che potresti trovare utili:

Descrizione Sintassi del vincolo
Non disabilitare l'upgrade automatico dei nodi per i nuovi pool di nodi 

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableAutoUpgrade
    resourceTypes:
    - container.googleapis.com/NodePool
    methodTypes:
    - CREATE
    condition: "resource.management.autoUpgrade == true"
    actionType: ALLOW
    displayName: Enable node auto-upgrade
    description: All node pools must have node auto-upgrade enabled.
Abilita la federazione di Workload Identity per GKE per i nuovi cluster 

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableWorkloadIdentity
    resourceTypes:
    - container.googleapis.com/Cluster
    methodTypes:
    - CREATE
    condition: "has(resource.workloadIdentityConfig.workloadPool) || resource.workloadIdentityConfig.workloadPool.size() > 0"
    actionType: ALLOW
    displayName: Enable Workload Identity on new clusters
    description: All new clusters must use Workload Identity.
Non disabilitare Cloud Logging sui cluster esistenti 

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableLogging
    resourceTypes:
    - container.googleapis.com/Cluster
    methodTypes:
    - UPDATE
    condition: "resource.loggingService == 'none'"
    actionType: DENY
    displayName: Do not disable Cloud Logging
    description: You cannot disable Cloud Logging on existing GKE cluster.
Consenti la creazione o l'aggiornamento di pool di nodi standard solo quando gli endpoint di metadati legacy sono disabilitati 

    name: organizations/ORGANIZATION_ID/customConstraints/custom.nodeConfigMetadata
    resourceTypes:
    - container.googleapis.com/NodePool
    methodTypes:
    - CREATE
    - UPDATE
    condition: "'disable-legacy-endpoints' in resource.config.metadata && resource.config.metadata['disable-legacy-endpoints'] == 'true'"
    actionType: ALLOW
    displayName: Disable legacy metadata endpoints
    description: You can only create or update node pools if you disable legacy
    metadata endpoints.

Questo esempio di vincolo mostra come impostare un vincolo personalizzato su un valore di mappa. Il campo condition utilizza l'operatore di indice sulla chiave della mappa disable-legacy-endpoints. Se utilizzi invece una sintassi di selezione dei campi standard, come negli esempi precedenti, vedrai un errore INVALID_CUSTOM_CONSTRAINT_CONDITION.

Passaggi successivi