여러 정책 컨트롤러 번들 적용

이 페이지에서는 정책 컨트롤러 번들을 사용 설정하는 방법을 설명합니다.

정책 번들 적용 및 사용에 대한 자세한 내용은 왼쪽 탐색 메뉴를 사용하여 적용할 번들에 대한 안내를 참조하세요. 정책 번들에 대한 자세한 내용은 정책 컨트롤러 번들 개요를 참조하세요.

Google Cloud 콘솔을 사용하여 정책 컨트롤러를 설치한 경우 정책 필수 번들이 기본적으로 설치되지만 더 많은 번들을 사용 설정할 수 있습니다.

시작하기 전에

정책 컨트롤러 설치

정책 번들 적용

콘솔

Google Cloud 콘솔을 사용하여 클러스터에 정책 번들을 하나 이상 적용하려면 다음 단계를 완료합니다.

Google Cloud 콘솔에서 상황 관리 섹션 아래의 GKE Enterprise 정책 페이지로 이동합니다.

정책으로 이동
설정 탭의 클러스터 테이블에서 구성 수정 열의 수정 을 선택합니다.
정책 번들 추가/수정 메뉴에서 템플릿 라이브러리가 켜져 있는지 확인합니다.
모든 정책 번들을 사용 설정하려면 에서 모든 정책 번들 추가를 설정합니다.
개별 정책 번들을 사용 설정하려면 사용 설정하려는 각 정책 번들을 설정합니다.
선택사항: 네임스페이스가 적용되지 않도록 제외하려면 고급 설정 표시 메뉴를 확장합니다. 네임스페이스 면제 필드에 유효한 네임스페이스 목록을 입력합니다.

권장사항:
환경에서 오류가 발생하지 않도록 시스템 네임스페이스를 제외합니다. 네임스페이스 및 Google Cloud 서비스로 생성된 일반 네임스페이스 목록을 제외하는 방법은 네임스페이스 제외 페이지를 참조하세요.
변경사항 저장을 선택합니다.

정책 컨트롤러 대시보드를 사용해서 정책 범위 및 위반 사항에 대한 추가 정보를 확인할 수 있습니다.

gcloud

정책 번들을 적용하려면 다음 단계를 완료합니다.

적용 중인 번들에 참조 제약조건이 사용되는 경우 참조 제약조건에 대한 지원을 사용 설정해야 합니다.
```
gcloud container fleet policycontroller update --referential-rules
```
정책 번들 개요에서 참조 제약조건 지원이 번들에 필요한지 여부를 확인할 수 있습니다.
설치하려는 각 번들에 대해 다음 명령어를 실행합니다.
```
gcloud container fleet policycontroller content bundles set BUNDLE_NAME
```
BUNDLE_NAME을 설치하려는 번들 이름으로 바꿉니다. 이름은 번들 프리픽스입니다(예: cis-k8s-v1.5.1). 정책 번들 개요에서 이름 목록을 찾을 수 있습니다.
선택사항: 네임스페이스가 적용되지 않도록 제외하려면 다음 명령어를 실행합니다.
```
gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
  --exempted-namespaces=NAMESPACES
```
NAMESPACES를 적용하지 않으려는 쉼표로 구분된 네임스페이스 목록으로 바꿉니다. 예를 들면 kube-system,gatekeeper-system입니다.

제외 가능한 네임스페이스를 추가하는 방법은 정책 컨트롤러에서 네임스페이스 제외를 참조하세요.

번들을 삭제하려면 다음 명령어를 실행합니다.

gcloud container fleet policycontroller content bundles remove BUNDLE_NAME

문제 해결

이 페이지의 안내에 따라 직접 설치된 정책 번들은 수정할 수 없습니다. 정책 번들 문제가 있고 수정이 필요하면 개별 정책 번들 페이지의 방법 중 하나를 사용해서 번들을 설치합니다. 이러한 방법은 Git 저장소에서 정책 번들을 가져와서 변경할 수 있습니다. 예를 들어 CIS Kubernetes 벤치마크 1.5를 수정하려면 이 페이지 대신 CIS Kubernetes 벤치마크 v1.5.1 정책 제약조건 사용의 안내를 따르세요.

다음 단계

개별 제약조건 적용에 대해 자세히 알아보기
CI/CD 파이프라인에서 정책 번들을 사용하여 왼쪽으로 이동하는 방법에 대한 튜토리얼 살펴보기