En esta página, se explica cómo habilitar los paquetes de Policy Controller.
Para obtener información más detallada sobre cómo aplicar y usar paquetes de políticas, lee las instrucciones del paquete que deseas aplicar en el menú de navegación de la izquierda. Para obtener más información sobre los paquetes de políticas, consulta la descripción general de los paquetes de Policy Controller.
Si instalaste Policy Controller con la consola de Google Cloud, el paquete de elementos esenciales de la política se instala de forma predeterminada, pero puedes habilitar más paquetes.
Antes de comenzar
Aplica paquetes de políticas
Console
Para aplicar uno o más paquetes de políticas en un clúster con la consola de Google Cloud, completa los siguientes pasos:
- En la consola de Google Cloud, ve a la página Política de GKE Enterprise en la sección Administración de postura.
En la pestaña Configuración, en la tabla del clúster, selecciona Editar edit en la columna Editar configuración.
En el menú Agregar o editar paquetes de políticas, asegúrate de que la biblioteca de plantillas esté activada.
Para habilitar todos los paquetes de políticas, activa Agregar todos los paquetes de políticas en check_circle.
Para habilitar paquetes de políticas individuales, activa cada paquete de políticas que desees habilitar.
Opcional: Para eximir un espacio de nombres de la aplicación, expande el menú Mostrar configuración avanzada. En el campo Eximir espacios de nombres, proporciona una lista de espacios de nombres válidos.
Para obtener más información sobre cómo agregar espacios de nombres que se pueden eximir, consulta Excluye espacios de nombres de Policy Controller.
Selecciona Ahorrar cambios.
Puedes ver información adicional sobre la cobertura de las políticas y los incumplimientos con el panel de Policy Controller.
gcloud
Para aplicar un paquete de políticas, completa los siguientes pasos:
Si alguno de los paquetes que aplicas usa restricciones referenciales, debes habilitar la compatibilidad con restricciones referenciales:
gcloud alpha container hub policycontroller update --referential-rules
Puedes verificar si un paquete requiere compatibilidad con restricciones referenciales en la descripción general de los paquetes de políticas.
Para cada paquete que quieras instalar, ejecuta el siguiente comando:
gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME
Reemplaza
BUNDLE_NAME
por el nombre del paquete que deseas instalar. El nombre es el prefijo del paquete, por ejemplo,cis-k8s-v1.5.1
. Puedes encontrar una lista de nombres en la descripción general de los paquetes de políticas.Opcional: Para eximir un espacio de nombres de la aplicación, ejecuta el siguiente comando:
gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME \ --exempted-namespaces=NAMESPACES
Reemplaza
NAMESPACES
por una lista de espacios de nombres separados por comas que no deseas que se apliquen, por ejemplo,kube-system,gatekeeper-system
.Para obtener más información sobre cómo agregar espacios de nombres que se pueden eximir, consulta Excluye espacios de nombres de Policy Controller.
Para quitar un paquete, ejecuta el siguiente comando:
gcloud alpha container hub policycontroller content bundles remove BUNDLE_NAME
¿Qué sigue?
- Obtén más información para aplicar restricciones individuales.
- Consulta un instructivo sobre cómo usar paquetes de políticas en tu canalización de CI/CD para desplazarte hacia la izquierda.