Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page explique comment activer les bundles Policy Controller.
Pour en savoir plus sur l'application et l'utilisation des groupes de règles, consultez les instructions concernant le groupe que vous souhaitez appliquer dans le menu de navigation de gauche. Pour en savoir plus sur les bundles de règles, consultez la présentation des bundles Policy Controller.
Si vous avez installé Policy Controller à l'aide de la console Google Cloud , le groupe de règles essentielles est installé par défaut, mais vous pouvez en activer davantage.
Sous l'onglet Paramètres, dans la table du cluster, sélectionnez Modifieredit dans la colonne Modifier la configuration.
Dans le menu Ajouter/Modifier des groupes de règles, assurez-vous que la bibliothèque de modèles est activée.
Pour activer tous les groupes de règles, activez l'option Ajouter tous les groupes de règlescheck_circle.
Pour activer des groupes de règles individuels, activez l'option pour chaque groupe de règles que vous souhaitez activer.
Facultatif : pour qu'un espace de noms soit exempté de l'application forcée, développez le menu Afficher les paramètres avancés. Dans le champ Exempter les espaces de noms, fournissez la liste des espaces de noms valides.
Bonne pratique:
Exemptez les espaces de noms système pour éviter les erreurs dans votre environnement. Vous trouverez les instructions pour exempter des espaces de noms et une liste des espaces de noms courants créés par les services Google Cloud sur la page Exclure des espaces de noms.
Sélectionnez Enregistrer les modifications.
Vous pouvez consulter des informations supplémentaires sur la couverture de vos règles et les cas de non-respect de ces règles à l'aide du tableau de bord Policy Controller.
gcloud
Pour appliquer un groupe de règles, procédez comme suit :
Si l'un des groupes que vous appliquez utilise des contraintes référentielles, vous devez activer la compatibilité avec les contraintes référentielles :
Remplacez BUNDLE_NAME par le nom du bundle que vous souhaitez installer. Le nom correspond au préfixe du bundle, par exemple cis-k8s-v1.5.1. Vous trouverez une liste de noms dans la présentation des bundles de règles.
Facultatif : pour qu'un espace de noms soit exempté de l'application forcée, exécutez la commande suivante :
Remplacez NAMESPACES par une liste d'espaces de noms séparés par des virgules que vous ne souhaitez pas appliquer, par exemple kube-system,gatekeeper-system.
Vous ne pouvez pas modifier les bundles de règles installés directement à l'aide des instructions de cette page. Si vous rencontrez des problèmes avec un lot de règles et que vous devez apporter des modifications, installez-le à l'aide de l'une des méthodes indiquées sur la page du lot de règles concerné.
Ces méthodes extraient le bundle de règles à partir d'un dépôt Git, ce qui vous permet d'apporter des modifications.
Par exemple, si vous souhaitez modifier le benchmark CIS de Kubernetes 1.5, suivez les instructions de la section Utiliser les contraintes liées aux règles du benchmark CIS v1.5.1 de Kubernetes plutôt que cette page.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/07/31 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/07/31 (UTC)."],[],[],null,["This page explains how to enable Policy Controller bundles.\n\nFor more detailed information about applying and using policy bundles, read the\ninstructions for the bundle that you want to apply using the left\nnavigation menu. For more information about policy bundles, see the\n[Policy Controller bundles](/kubernetes-engine/enterprise/policy-controller/docs/concepts/policy-controller-bundles) overview.\n\nIf you installed Policy Controller using the Google Cloud console, the\n[policy essentials bundle](/kubernetes-engine/enterprise/policy-controller/docs/how-to/using-policy-essentials-v2022)\nis installed by default, but you can enable more bundles.\n\nBefore you begin\n\n- [Install Policy Controller](/kubernetes-engine/enterprise/policy-controller/docs/how-to/installing-policy-controller).\n\nApply policy bundles **Warning:** After you choose a method to apply policy bundles (manual, gcloud CLI, or Google Cloud console), using a different method to install policy bundles can cause errors in your environment. \n\nConsole\n\nTo apply one or more policy bundles on a cluster using the Google Cloud console,\ncomplete the following steps:\n\n1. In the Google Cloud console, go to the **Policy** page under the **Posture Management** section.\n\n \u003cbr /\u003e\n\n [Go to Policy](https://console.cloud.google.com/kubernetes/policy_controller)\n2. Under the **Settings** tab, in the cluster table, select **Edit**\n *edit* in the **Edit configuration** column.\n\n3. In the **Add/Edit policy bundles** menu, ensure the template library is\n toggled on.\n\n4. To enable all policy bundles, toggle **Add all policy bundles** on\n *check_circle*.\n\n5. To enable individual policy bundles, toggle on each policy bundle that you\n want to enable.\n\n6. Optional: To exempt a namespace from enforcement, expand the **Show\n advanced settings** menu. In the **Exempt namespaces** field, provide a list\n of valid namespaces.\n\n **Best practice** :\n\n Exempt system namespaces to avoid errors in your environment. You can find the instructions to exempt namespaces\n and a list of common namespaces created by Google Cloud services on the\n [Exclude namespaces page](/kubernetes-engine/enterprise/policy-controller/docs/how-to/policy-controller-exclude-namespaces).\n7. Select **Save changes**.\n\nYou can view additional information about your policy coverage and violations\nusing the [Policy Controller dashboard](/kubernetes-engine/enterprise/policy-controller/docs/how-to/policy-controller-status).\n\ngcloud\n\nTo apply a policy bundle, complete the following steps:\n\n1. If any of the bundles that you're applying use referential constraints,\n you must enable support for referential constraints:\n\n gcloud container fleet policycontroller update --referential-rules\n\n You can check whether a bundle requires support for referential constraints\n on the\n [Policy bundles overview](/kubernetes-engine/enterprise/policy-controller/docs/concepts/policy-controller-bundles).\n2. For each bundle that you want to install, run the following command:\n\n gcloud container fleet policycontroller content bundles set \u003cvar translate=\"no\"\u003eBUNDLE_NAME\u003c/var\u003e\n\n Replace \u003cvar translate=\"no\"\u003eBUNDLE_NAME\u003c/var\u003e with the name of the bundle\n that you want to install. The name is the bundle prefix, for example\n `cis-k8s-v1.5.1`. You can find a list of names on the\n [Policy bundles overview](/kubernetes-engine/enterprise/policy-controller/docs/concepts/policy-controller-bundles).\n3. Optional: To exempt a namespace from enforcement, run the following\n command:\n\n gcloud container fleet policycontroller content bundles set \u003cvar translate=\"no\"\u003eBUNDLE_NAME\u003c/var\u003e \\\n --exempted-namespaces=\u003cvar translate=\"no\"\u003eNAMESPACES\u003c/var\u003e\n\n Replace \u003cvar translate=\"no\"\u003eNAMESPACES\u003c/var\u003e with a comma-separated list of\n namespaces that you don't want enforced, for example `kube-system,gatekeeper-system`.\n\n For more information about how to add exemptable namespaces, see\n [Exclude namespaces from Policy Controller](/kubernetes-engine/enterprise/policy-controller/docs/how-to/policy-controller-exclude-namespaces).\n4. To remove a bundle, run the following command:\n\n gcloud container fleet policycontroller content bundles remove \u003cvar translate=\"no\"\u003eBUNDLE_NAME\u003c/var\u003e\n\nTroubleshooting\n\nYou can't modify policy bundles that are installed directly by using the instructions\non this page. If you're having issues with a policy bundle and need to make edits,\ninstall the bundle by using one of the methods on the individual policy bundle's page.\nThese methods pull the policy bundle from a Git repository, which lets you make changes.\nFor example, if you want to edit the\nCIS Kubernetes Benchmark 1.5, follow the instructions on\n[Use CIS Kubernetes Benchmark v1.5.1 policy constraints](/kubernetes-engine/enterprise/policy-controller/docs/how-to/using-cis-k8s-benchmark)\ninstead of this page.\n| **Caution:** If you're switching from applying policy bundles directly to using a manual install method, ensure that you first remove the policy bundle with either the Google Cloud console or Google Cloud CLI steps on this page before you manually install the bundle.\n\nWhat's next\n\n- Learn more about [applying individual constraints](/kubernetes-engine/enterprise/policy-controller/docs/how-to/creating-policy-controller-constraints).\n- Take a tutorial on [using policy bundles in your CI/CD pipeline to shift left](/kubernetes-engine/enterprise/policy-controller/docs/tutorials/app-policy-validation-ci-pipeline)."]]
