Applicare più bundle di Policy Controller

Questa pagina spiega come attivare i bundle Policy Controller.

Per informazioni più dettagliate sull'applicazione e l'utilizzo dei pacchetti di norme, leggi le istruzioni per il pacchetto che vuoi applicare utilizzando il menu di navigazione a sinistra. Per ulteriori informazioni sui bundle di policy, consulta la panoramica dei bundle di Policy Controller.

Se hai installato Policy Controller utilizzando la console Google Cloud , il pacchetto Policy Essentials viene installato per impostazione predefinita, ma puoi attivare altri pacchetti.

Prima di iniziare

Applicare i pacchetti di policy

Console

Per applicare uno o più bundle di policy a un cluster utilizzando la console Google Cloud , completa i seguenti passaggi:

  1. Nella console Google Cloud , vai alla pagina Policy nella sezione Posture Management.

    Vai alle norme

  2. Nella scheda Impostazioni, seleziona Modifica nella colonna Modifica configurazione della tabella dei cluster.

  3. Nel menu Aggiungi/modifica pacchetti di policy, assicurati che la raccolta di modelli sia attivata.

  4. Per attivare tutti i pacchetti di policy, attiva/disattiva l'opzione Aggiungi tutti i pacchetti di policy su .

  5. Per attivare i singoli pacchetti di policy, attiva ogni pacchetto che vuoi abilitare.

  6. (Facoltativo) Per esentare uno spazio dei nomi dall'applicazione, espandi il menu Mostra impostazioni avanzate. Nel campo Spazi dei nomi esenti, fornisci un elenco di spazi dei nomi validi.

    Best practice:

    Esonera gli spazi dei nomi di sistema per evitare errori nel tuo ambiente. Puoi trovare le istruzioni per escludere gli spazi dei nomi e un elenco di spazi dei nomi comuni creati dai servizi Google Cloud nella pagina Escludi spazi dei nomi.

  7. Seleziona Salva modifiche.

Puoi visualizzare ulteriori informazioni sulla copertura delle norme e sulle violazioni utilizzando la dashboard di Policy Controller.

gcloud

Per applicare un bundle di policy, completa i seguenti passaggi:

  1. Se uno dei bundle che stai applicando utilizza vincoli referenziali, devi abilitare il supporto per i vincoli referenziali:

    gcloud container fleet policycontroller update --referential-rules
    

    Puoi verificare se un pacchetto richiede il supporto dei vincoli referenziali nella Panoramica dei pacchetti di policy.

  2. Per ogni bundle che vuoi installare, esegui questo comando:

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME
    

    Sostituisci BUNDLE_NAME con il nome del bundle che vuoi installare. Il nome è il prefisso del bundle, ad esempio cis-k8s-v1.5.1. Puoi trovare un elenco di nomi nella Panoramica dei bundle di norme.

  3. (Facoltativo) Per esentare uno spazio dei nomi dall'applicazione forzata, esegui questo comando:

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
      --exempted-namespaces=NAMESPACES
    

    Sostituisci NAMESPACES con un elenco separato da virgole di spazi dei nomi che non vuoi applicare, ad esempio kube-system,gatekeeper-system.

    Per saperne di più su come aggiungere spazi dei nomi esentabili, consulta Escludi gli spazi dei nomi da Policy Controller.

  4. Per rimuovere un bundle, esegui questo comando:

    gcloud container fleet policycontroller content bundles remove BUNDLE_NAME
    

Risoluzione dei problemi

Non puoi modificare i bundle di criteri installati direttamente seguendo le istruzioni di questa pagina. Se hai problemi con un bundle di norme e devi apportare modifiche, installa il bundle utilizzando uno dei metodi indicati nella pagina del singolo bundle di norme. Questi metodi estraggono il bundle di norme da un repository Git, che ti consente di apportare modifiche. Ad esempio, se vuoi modificare il benchmark CIS Kubernetes 1.5, segui le istruzioni riportate nella pagina Utilizzo dei vincoli dei criteri di benchmark CIS Kubernetes v1.5.1 anziché in questa pagina.

Passaggi successivi