Auf dieser Seite wird erläutert, wie Policy Controller-Bundles aktiviert werden.
Ausführlichere Informationen zum Anwenden und Verwenden von Richtlinien-Bundles finden Sie in der Anleitung für das Bundle, das Sie über das linke Navigationsmenü anwenden möchten. Weitere Informationen zu Richtlinien-Bundles finden Sie in der Übersicht zu Policy Controller-Bundles.
Wenn Sie Policy Controller mit der Google Cloud Console installiert haben, ist das Policy Essentials-Bundle standardmäßig installiert. Sie können jedoch weitere Bundles aktivieren.
Hinweise
Richtlinien-Bundles anwenden
Console
So wenden Sie mit der Google Cloud Console ein oder mehrere Richtlinien-Bundles auf einen Cluster an:
- Rufen Sie in der Google Cloud Console im Abschnitt Statusverwaltung die Seite GKE Enterprise-Richtlinie auf.
Wählen Sie auf dem Tab Einstellungen in der Clustertabelle in der Spalte Konfiguration bearbeiten die Option Bearbeiten edit aus.
Achten Sie darauf, dass im Menü Richtlinien-Bundles hinzufügen/bearbeiten die Vorlagenbibliothek aktiviert ist.
Wenn Sie alle Richtlinien-Bundles aktivieren möchten, schalten Sie Alle Richtlinien-Bundles hinzufügen auf check_circle.
Wenn Sie einzelne Richtlinien-Bundles aktivieren möchten, schalten Sie jedes Richtlinien-Bundle ein, das Sie aktivieren möchten.
Optional: Wenn Sie einen Namespace von der Erzwingung ausnehmen möchten, maximieren Sie das Menü Erweiterte Einstellungen anzeigen. Geben Sie im Feld Ausnahmefähige Namespaces eine Liste gültiger Namespaces an.
Weitere Informationen zum Hinzufügen von ausnahmefähigen Namespaces finden Sie unter Namespaces vom Policy Controller ausschließen.
Wählen Sie Änderungen speichern aus.
Weitere Informationen zu Ihrer Richtlinienabdeckung und -verstößen finden Sie im Policy Controller-Dashboard.
gcloud
Führen Sie folgende Schritte aus, um ein Richtlinien-Bundle anzuwenden:
Wenn eines der von Ihnen angewendeten Bundles referenzielle Einschränkungen verwendet, müssen Sie die Unterstützung für referenzielle Einschränkungen aktivieren:
gcloud alpha container hub policycontroller update --referential-rules
In der Übersicht über Richtlinien-Bundles können Sie prüfen, ob ein Bundle Unterstützung für referenzielle Einschränkungen benötigt.
Führen Sie für jedes Bundle, das Sie installieren möchten, den folgenden Befehl aus:
gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME
Ersetzen Sie
BUNDLE_NAME
durch den Namen des Bundles, das Sie installieren möchten. Der Name ist das Bundle-Präfix, z. B.cis-k8s-v1.5.1
. Eine Liste der Namen finden Sie in der Übersicht über Richtlinien-Bundles.Optional: Führen Sie den folgenden Befehl aus, um einen Namespace von der Erzwingung auszunehmen:
gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME \ --exempted-namespaces=NAMESPACES
Ersetzen Sie
NAMESPACES
durch eine durch Kommas getrennte Liste von Namespaces, die nicht erzwungen werden sollen, z. B.kube-system,gatekeeper-system
.Weitere Informationen zum Hinzufügen von ausnahmefähigen Namespaces finden Sie unter Namespaces vom Policy Controller ausschließen.
Führen Sie den folgenden Befehl aus, um ein Bundle zu entfernen:
gcloud alpha container hub policycontroller content bundles remove BUNDLE_NAME
Nächste Schritte
- Weitere Informationen zum Anwenden einzelner Einschränkungen.
- Lesen Sie eine Anleitung zur Verwendung von Richtlinien-Bundles in Ihrer CI/CD-Pipeline, um nach links zu verschieben.