複数の Policy Controller バンドルを適用する

コンソール

Google Cloud コンソールを使用してクラスタに 1 つ以上のポリシー バンドルを適用するには、次の操作を行います。

1. Google Cloud コンソールで、[ポスチャーの管理] セクションにある GKE Enterprise の [ポリシー] ページに移動します。

   [ポリシー] に移動

2. [設定] タブのクラスタ テーブルで、[構成の編集] 列にある [編集 edit] を選択します。

3. [ポリシー バンドルを追加 / 編集] メニューで、テンプレート ライブラリがオンになっていることを確認します。

4. すべてのポリシー バンドルを有効にするには、[すべてのポリシー バンドルの追加] をオン check_circle に切り替えます。

5. 個々のポリシー バンドルを有効にするには、有効にする各ポリシー バンドルをオンにします。

6. 省略可: 名前空間の適用を解除するには、[詳細設定を表示] メニューを開きます。[名前空間の除外] フィールドに、有効な名前空間のリストを入力します。

   ベスト プラクティス:

   システムの名前空間を除外して、環境でエラーが発生しないようにします。名前空間を除外する手順と、 Google Cloud サービスによって作成された一般的な名前空間のリストについては、名前空間を除外するをご覧ください。

7. [変更を保存] をクリックします。

ポリシー カバレッジと違反に関する追加情報は、Policy Controller ダッシュボードを使用して表示できます。

gcloud

ポリシー バンドルを適用する手順は次のとおりです。

1. 適用するバンドルのいずれかが参照制約を使用している場合は、参照制約のサポートを有効にする必要があります。

   gcloud container fleet policycontroller update --referential-rules
   

   バンドルで参照制約のサポートが必要かどうかは、ポリシー バンドルの概要で確認できます。

2. インストールするバンドルごとに、次のコマンドを実行します。

   gcloud container fleet policycontroller content bundles set BUNDLE_NAME
   

   BUNDLE_NAME は、インストールするバンドルの名前に置き換えます。名前はバンドルの接頭辞です（たとえば cis-k8s-v1.5.1）。名前の一覧については、ポリシー バンドルの概要をご覧ください。

3. 省略可: 名前空間の適用を除外するには、次のコマンドを実行します。

   gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
     --exempted-namespaces=NAMESPACES
   

   NAMESPACES は、適用しない名前空間のカンマ区切りリストに置き換えます（例: kube-system,gatekeeper-system）。

   除外可能な名前空間を追加する方法については、Policy Controller から名前空間を除外するをご覧ください。

4. バンドルを削除するには、次のコマンドを実行します。

   gcloud container fleet policycontroller content bundles remove BUNDLE_NAME