Appliquer plusieurs groupes Policy Controller

Cette page explique comment activer les groupes Policy Controller.

Pour en savoir plus sur l'application et l'utilisation des groupes de règles, consultez les instructions concernant le groupe que vous souhaitez appliquer dans le menu de navigation de gauche. Pour en savoir plus sur les groupes de règles, consultez la présentation des groupes de Policy Controller.

Si vous avez installé Policy Controller à l'aide de la console Google Cloud, le groupe de règles essentielles est installé par défaut, mais vous pouvez en activer davantage.

Avant de commencer

Appliquer des groupes de règles

Console

Pour appliquer un ou plusieurs groupes de règles à un cluster à l'aide de la console Google Cloud, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Stratégie de GKE Enterprise sous la section Gestion de la stratégie.

    Accéder à la page "Règle"

  2. Sous l'onglet Paramètres, dans la table du cluster, sélectionnez Modifier dans la colonne Modifier la configuration.

  3. Dans le menu Ajouter/Modifier des groupes de règles, assurez-vous que la bibliothèque de modèles est activée.

  4. Pour activer tous les groupes de règles, activez l'option Ajouter tous les groupes de règles.

  5. Pour activer des groupes de règles individuels, activez chaque groupe de règles que vous souhaitez activer.

  6. Facultatif : pour qu'un espace de noms soit exempté de l'application forcée, développez le menu Afficher les paramètres avancés. Dans le champ Exempter les espaces de noms, fournissez la liste des espaces de noms valides.

    Pour en savoir plus sur l'ajout d'espaces de noms exemptables, consultez la page Exclure des espaces de noms de Policy Controller.

  7. Sélectionnez Enregistrer les modifications.

Vous pouvez consulter des informations supplémentaires sur la couverture de votre règle et le non-respect de vos règles à l'aide du tableau de bord Policy Controller.

gcloud

Pour appliquer un groupe de règles, procédez comme suit :

  1. Si l'un des groupes que vous appliquez utilise des contraintes référentielles, vous devez activer la compatibilité avec les contraintes référentielles :

    gcloud alpha container hub policycontroller update --referential-rules
    

    Vous pouvez vérifier si un groupe nécessite la compatibilité avec les contraintes référentielles sur la page Présentation des groupes de règles.

  2. Pour chaque groupe que vous souhaitez installer, exécutez la commande suivante :

    gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME
    

    Remplacez BUNDLE_NAME par le nom du groupe que vous souhaitez installer. Le nom est le préfixe du groupe, par exemple cis-k8s-v1.5.1. Vous trouverez une liste de noms dans la présentation des ensembles de règles.

  3. Facultatif : pour qu'un espace de noms soit exempté de l'application forcée, exécutez la commande suivante :

    gcloud alpha container hub policycontroller content bundles set BUNDLE_NAME \
      --exempted-namespaces=NAMESPACES
    

    Remplacez NAMESPACES par une liste d'espaces de noms, séparés par une virgule, que vous ne souhaitez pas appliquer, par exemple kube-system,gatekeeper-system.

    Pour en savoir plus sur l'ajout d'espaces de noms exemptables, consultez la page Exclure des espaces de noms de Policy Controller.

  4. Pour supprimer un groupe, exécutez la commande suivante :

    gcloud alpha container hub policycontroller content bundles remove BUNDLE_NAME
    

Étape suivante