Applicare più bundle di Policy Controller

Questa pagina spiega come attivare i pacchetti di Policy Controller.

Per informazioni più dettagliate sull'applicazione e sull'utilizzo dei pacchetti di norme, leggi le istruzioni per il pacchetto che vuoi applicare utilizzando il menu di navigazione a sinistra. Per ulteriori informazioni sui bundle di criteri, consulta la panoramica dei bundle di Policy Controller.

Se hai installato Policy Controller utilizzando la Google Cloud console, il pacchetto Policy Essentials viene installato per impostazione predefinita, ma puoi attivare altri pacchetti.

Prima di iniziare

Applicare i pacchetti di criteri

Console

Per applicare uno o più bundle di criteri a un cluster utilizzando la Google Cloud console, compila i seguenti passaggi:

  1. Nella Google Cloud console, vai alla pagina Criteri di GKE Enterprise nella sezione Gestione della postura.

    Vai a Norme

  2. Nella scheda Impostazioni, nella tabella del cluster, seleziona Modifica nella colonna Modifica configurazione.

  3. Nel menu Aggiungi/modifica pacchetti di criteri, assicurati che la raccolta di modelli sia attivata.

  4. Per attivare tutti i pacchetti di criteri, attiva Aggiungi tutti i pacchetti di criteri.

  5. Per attivare i singoli pacchetti di criteri, attiva ogni pacchetto di criteri che vuoi attivare.

  6. (Facoltativo) Per esentare uno spazio dei nomi dall'applicazione, espandi il menu Mostra impostazioni avanzate. Nel campo Spazi dei nomi esenti, fornisci un elenco di spazi dei nomi validi.

    Best practice:

    Esenta gli spazi dei nomi di sistema per evitare errori nel tuo ambiente. Puoi trovare le istruzioni per esentare gli spazi dei nomi e un elenco di spazi dei nomi comuni creati dai Google Cloud servizi nella pagina Escludi spazi dei nomi.

  7. Seleziona Salva modifiche.

Puoi visualizzare ulteriori informazioni sulla copertura delle norme e sulle violazioni utilizzando la dashboard di Policy Controller.

gcloud

Per applicare un bundle di criteri, completa i seguenti passaggi:

  1. Se uno dei pacchetti che stai applicando utilizza vincoli referenziali, devi attivare il supporto per i vincoli referenziali:

    gcloud container fleet policycontroller update --referential-rules

    Puoi verificare se un pacchetto richiede il supporto per le limitazioni referenziali nella Panoramica dei pacchetti di criteri.

  2. Per ogni bundle che vuoi installare, esegui il seguente comando:

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME

    Sostituisci BUNDLE_NAME con il nome del bundle che vuoi installare. Il nome è il prefisso del bundle, ad esempio cis-k8s-v1.5.1. Puoi trovare un elenco di nomi nella Panoramica dei pacchetti di criteri.

  3. (Facoltativo) Per esentare uno spazio dei nomi dall'applicazione, esegui il seguente comando:

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
  --exempted-namespaces=NAMESPACES

    Sostituisci NAMESPACES con un elenco separato da virgole di spazi dei nomi che non vuoi applicare, ad esempio kube-system,gatekeeper-system.

    Per ulteriori informazioni su come aggiungere spazi dei nomi esenti, consulta Escludere gli spazi dei nomi da Policy Controller.

  4. Per rimuovere un bundle, esegui il seguente comando:

    gcloud container fleet policycontroller content bundles remove BUNDLE_NAME

Risoluzione dei problemi

Non puoi modificare i bundle di criteri installati direttamente utilizzando le istruzioni riportate su questa pagina. Se hai problemi con un pacchetto di norme e devi apportare modifiche, installalo utilizzando uno dei metodi disponibili nella pagina del singolo pacchetto di norme. Questi metodi estraggono il bundle di criteri da un repository Git, il che ti consente di apportare modifiche. Ad esempio, se vuoi modificare il benchmark CIS Kubernetes 1.5, segui le istruzioni riportate in Utilizzare i vincoli dei criteri di benchmark CIS Kubernetes 1.5.1 anziché questa pagina.

Passaggi successivi