应用多个 Policy Controller 包

本页面介绍如何启用 Policy Controller 政策包。

如需详细了解如何应用和使用政策包，请使用左侧导航菜单阅读有关您要应用的政策包的说明。如需详细了解政策包，请参阅 Policy Controller 包概览。

如果您使用 Google Cloud 控制台安装了 Policy Controller，则已默认安装 Policy Essentials 包，但您可以启用更多 Policy Essentials 包。

准备工作

安装 Policy Controller。

应用政策包

控制台

如需使用 Google Cloud 控制台在集群上应用一个或多个政策包，请完成以下步骤：

在 Google Cloud 控制台中，前往安全状况管理部分下的 GKE Enterprise 政策页面。

前往“政策”
在设置标签页下的集群表中，选择修改配置列中的修改。
在添加/修改政策包菜单中，确保已启用模板库。
如需启用所有政策包，请将添加所有政策包切换为。
如需启用单个政策包，请开启要启用的每个政策包。
可选：如需在强制执行中豁免某个命名空间，请展开显示高级设置菜单。在 Exempt namespaces（豁免命名空间）字段中，提供有效命名空间的列表。

最佳实践：
豁免系统命名空间，以避免环境中出现错误。您可以在“排除命名空间”页面上找到豁免命名空间的说明以及由 Google Cloud 服务创建的常见命名空间的列表。
选择保存更改。

您可以使用 Policy Controller 信息中心查看有关政策覆盖范围和违规行为的更多信息。

gcloud

如需应用政策包，请完成以下步骤：

如果您所应用的任何政策包使用参照限制条件，则必须启用对参照限制条件的支持：
```
gcloud container fleet policycontroller update --referential-rules
```
您可以在政策包概览中查看政策包是否需要对参照限制条件的支持。
对于要安装的每个政策包，请运行以下命令：
```
gcloud container fleet policycontroller content bundles set BUNDLE_NAME
```
将 BUNDLE_NAME 替换为您要安装的政策包的名称。名称是政策包前缀，例如 cis-k8s-v1.5.1。您可以在政策包概览中找到名称列表。
可选：如需在强制执行中豁免某个命名空间，请运行以下命令：
```
gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
  --exempted-namespaces=NAMESPACES
```
将 NAMESPACES 替换为您不想强制执行的命名空间的逗号分隔列表，例如 kube-system,gatekeeper-system。

如需详细了解如何添加可豁免的命名空间，请参阅从 Policy Controller 中排除命名空间。

如需移除政策包，请运行以下命令：

gcloud container fleet policycontroller content bundles remove BUNDLE_NAME

问题排查

您无法按照本页面上的说明修改直接安装的政策包。如果您在使用政策包时遇到问题并需要进行修改，请使用各个政策包页面上的方法之一安装该包。这些方法会从 Git 代码库中拉取政策包，以便您进行更改。例如，如果您想修改 CIS Kubernetes 基准 1.5，请按照使用 CIS Kubernetes 基准 v1.5.1 政策限制条件中的说明操作，而不是按照本页面中的说明操作。

后续步骤

详细了解如何应用单个限制条件。
学习在 CI/CD 流水线中使用政策包左移教程。