Gli oggetti vincolo di Policy Controller ti consentono di applicare i criteri per i tuoi cluster Kubernetes. Per aiutarti a testare le tue norme, puoi aggiungere un'azione di applicazione ai vincoli. Puoi quindi e visualizzare le violazioni negli oggetti dei vincoli e nei log.
Questa pagina è rivolta ad amministratori e operatori IT che vogliono assicurarsi che tutte le risorse in esecuzione all'interno della piattaforma cloud soddisfino i requisiti di conformità dell'organizzazione fornendo e mantenendo l'automazione per eseguire controlli o applicare le norme e che gestiscono il ciclo di vita dell'infrastruttura tecnologica sottostante. A scopri di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento per i contenuti di Google Cloud, consulta Ruoli e attività utente comuni di GKE Enterprise.
Tipi di provvedimenti
Prevede tre provvedimenti: deny, dryrun e warn.
deny è l'azione di applicazione predefinita. Viene attivata automaticamente, anche
di non aggiungere un provvedimento nel vincolo. Usa deny per impedire un
una determinata operazione di cluster
in caso di violazione.
dryrun ti consente di monitorare le violazioni delle regole senza bloccare attivamente
transazioni. Puoi utilizzarlo per verificare se i vincoli funzionano come previsto prima di attivare l'applicazione forzata utilizzando l'azione deny. Test
questo modo consente di evitare interruzioni causate da una configurazione errata
di blocco.
warn è simile a dryrun, ma fornisce anche un messaggio immediato sull'
violazioni che si verificano al momento dell'ammissione.
Quando testi nuovi vincoli o esegui azioni di migrazione, come l'upgrade delle piattaforme, ti consigliamo di impostare le azioni di applicazione su deny anziché su warn o dryrun in modo da verificare che le norme funzionino come previsto.
Aggiunta di provvedimenti
Puoi aggiungere enforcementAction: deny o enforcementAction: dryrun a un vincolo.
Il seguente vincolo di esempio, denominato audit.yaml, aggiunge l'azione dryrun.
#audit.yaml
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sPSPAllowedUsers
metadata:
name: user-must-be-3333
spec:
enforcementAction: dryrun
match:
kinds:
- apiGroups: [""]
kinds: ["Pod"]
parameters:
runAsUser:
rule: MustRunAs
ranges:
- min: 3333
max: 3333
Crea il vincolo. Ad esempio, applicalo utilizzando kubectl apply -f:
kubectl apply -f audit.yaml
Visualizzazione dei risultati di controllo
Le violazioni sottoposte a controllo vengono aggiunte agli oggetti Constraint e vengono scritte anche nei log. Violazioni che I rifiuti del controller di ammissione non vengono visualizzati nei log.
Visualizzazione dei risultati dell'audit negli oggetti vincolo
Per visualizzare le violazioni di una determinata limitazione, esegui il seguente comando e visualizza i campi spec.status.
kubectl get constraint-kind constraint-name -o yaml
Esempio
Per visualizzare l'output della limitazione da audit.yaml, esegui il
comando seguente:
kubectl get K8sPSPAllowedUsers user-must-be-3333 -o yaml
L'output che vedi è simile al seguente:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sPSPAllowedUsers
metadata:
creationTimestamp: "2020-05-22T01:34:22Z"
generation: 1
name: user-must-be-3333
resourceVersion: "13351707"
selfLink: /apis/constraints.gatekeeper.sh/v1beta1/k8spspallowedusers/user-must-be-3333
uid: 5d0b39a8-9bcc-11ea-bb38-42010a80000c
spec:
enforcementAction: dryrun
match:
kinds:
- apiGroups:
- ""
kinds:
- Pod
parameters:
runAsUser:
ranges:
- max: 3333
min: 3333
rule: MustRunAs
status:
auditTimestamp: "2020-05-22T01:39:05Z"
byPod:
- enforced: true
id: gatekeeper-controller-manager-6b665d4c4d-lwnz5
observedGeneration: 1
totalViolations: 5
violations:
- enforcementAction: dryrun
kind: Pod
message: Container git-sync is attempting to run as disallowed user 65533
name: git-importer-86564db8cb-5r4gs
namespace: config-management-system
- enforcementAction: dryrun
kind: Pod
message: Container manager is attempting to run as disallowed user 1000
name: gatekeeper-controller-manager-6b665d4c4d-lwnz5
namespace: gatekeeper-system
- enforcementAction: dryrun
kind: Pod
message: Container kube-proxy is attempting to run without a required securityContext/runAsUser
name: kube-proxy-gke-fishy131-default-pool-7369b17c-cckf
namespace: kube-system
- enforcementAction: dryrun
kind: Pod
message: Container kube-proxy is attempting to run without a required securityContext/runAsUser
name: kube-proxy-gke-fishy131-default-pool-7369b17c-jnhb
namespace: kube-system
- enforcementAction: dryrun
kind: Pod
message: Container kube-proxy is attempting to run without a required securityContext/runAsUser
name: kube-proxy-gke-fishy131-default-pool-7369b17c-xrd8
namespace: kube-system
Visualizzazione dei risultati di controllo nei log
Puoi utilizzare Esplora log. per recuperare, visualizzare e analizzare i dati di log per Policy Controller.
Per ottenere tutti i log di Policy Controller, esegui questo comando:
kubectl logs -n gatekeeper-system -l gatekeeper.sh/system=yes
I risultati del controllo contengono "process":"audit" nelle righe del log, quindi puoi incanalare
l'output in un altro comando e filtrare in base a queste righe. Ad esempio, puoi utilizzare jq, che analizza i file JSON e ti consente di impostare un filtro per un tipo di log specifico.
Esempio di risultato del controllo del logging:
{
"level":"info",
"ts":1590111401.9769812,
"logger":"controller",
"msg":"Container kube-proxy is attempting to run without a required securityContext/runAsUser",
"process":"audit",
"audit_id":"2020-05-22T01:36:24Z",
"event_type":"violation_audited",
"constraint_kind":"K8sPSPAllowedUsers",
"constraint_name":"user-must-be-3333",
"constraint_namespace":"",
"constraint_action":"dryrun",
"resource_kind":"Pod",
"resource_namespace":"kube-system",
"resource_name":"kube-proxy-gke-fishy131-default-pool-7369b17c-xrd8"
}
Passaggi successivi
- Scopri di più sulla creazione di vincoli
- Utilizza la libreria di modelli di vincolo
- Scopri come utilizzare i vincoli invece di PodSecurityPolicies