Mehrere Policy Controller-Bundles anwenden

Auf dieser Seite wird erläutert, wie Policy Controller-Bundles aktiviert werden.

Ausführlichere Informationen zum Anwenden und Verwenden von Richtlinien-Bundles finden Sie in der Anleitung für das Bundle, das Sie über das linke Navigationsmenü anwenden möchten. Weitere Informationen zu Richtlinien-Bundles finden Sie in der Übersicht zu Policy Controller-Bundles.

Wenn Sie Policy Controller mit der Google Cloud Console installiert haben, ist das Policy Essentials-Bundle standardmäßig installiert. Sie können jedoch weitere Bundles aktivieren.

Hinweise

Richtlinien-Bundles anwenden

Console

So wenden Sie mit der Google Cloud Console ein oder mehrere Richtlinien-Bundles auf einen Cluster an:

  1. Rufen Sie in der Google Cloud Console im Abschnitt Statusverwaltung die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

  2. Wählen Sie auf dem Tab Einstellungen in der Clustertabelle in der Spalte Konfiguration bearbeiten die Option Bearbeiten aus.

  3. Achten Sie darauf, dass im Menü Richtlinien-Bundles hinzufügen/bearbeiten die Vorlagenbibliothek aktiviert ist.

  4. Wenn Sie alle Richtlinien-Bundles aktivieren möchten, schalten Sie Alle Richtlinien-Bundles hinzufügen auf .

  5. Wenn Sie einzelne Richtlinien-Bundles aktivieren möchten, schalten Sie jedes Richtlinien-Bundle ein, das Sie aktivieren möchten.

  6. Optional: Wenn Sie einen Namespace von der Erzwingung ausnehmen möchten, maximieren Sie das Menü Erweiterte Einstellungen anzeigen. Geben Sie im Feld Ausnahmefähige Namespaces eine Liste gültiger Namespaces an.

    Weitere Informationen zum Hinzufügen von ausnahmefähigen Namespaces finden Sie unter Namespaces vom Policy Controller ausschließen.

  7. Wählen Sie Änderungen speichern aus.

Weitere Informationen zu Ihrer Richtlinienabdeckung und -verstößen finden Sie im Policy Controller-Dashboard.

gcloud

Führen Sie folgende Schritte aus, um ein Richtlinien-Bundle anzuwenden:

  1. Wenn eines der von Ihnen angewendeten Bundles referenzielle Einschränkungen verwendet, müssen Sie die Unterstützung für referenzielle Einschränkungen aktivieren:

    gcloud alpha container hub policycontroller update --referential-rules
    

    In der Übersicht über Richtlinien-Bundles können Sie prüfen, ob ein Bundle Unterstützung für referenzielle Einschränkungen benötigt.

  2. Führen Sie für jedes Bundle, das Sie installieren möchten, den folgenden Befehl aus:

    gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME
    

    Ersetzen Sie BUNDLE_NAME durch den Namen des Bundles, das Sie installieren möchten. Der Name ist das Bundle-Präfix, z. B. cis-k8s-v1.5.1. Eine Liste der Namen finden Sie in der Übersicht über Richtlinien-Bundles.

  3. Optional: Führen Sie den folgenden Befehl aus, um einen Namespace von der Erzwingung auszunehmen:

    gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME \
      --exempted-namespaces=NAMESPACES
    

    Ersetzen Sie NAMESPACES durch eine durch Kommas getrennte Liste von Namespaces, die nicht erzwungen werden sollen, z. B. kube-system,gatekeeper-system.

    Weitere Informationen zum Hinzufügen von ausnahmefähigen Namespaces finden Sie unter Namespaces vom Policy Controller ausschließen.

  4. Führen Sie den folgenden Befehl aus, um ein Bundle zu entfernen:

    gcloud alpha container hub policycontroller content bundles remove BUNDLE_NAME
    

Nächste Schritte