配置 Policy Controller 以实现高可用性

您可以为 Policy Controller 设置部署级配置，以替换资源要求并配置参数来实现高可用性。

本页面适用于想要提供并维护自动化以进行审核或强制执行，从而确保云平台中运行的所有资源满足组织合规性要求的 IT 管理员和运维人员，以及管理底层技术基础设施生命周期的 IT 管理员和运维人员。如需详细了解我们在 Google Cloud 内容中提及的常见角色和示例任务，请参阅常见的 GKE Enterprise 用户角色和任务。

如需获取所有配置选项的列表，请运行 gcloud container fleet policycontroller deployment set --help。

本页面中的命令使用 --all-memberships 标志将配置应用于注册到舰队的所有集群。如需改为将命令应用于单个已注册集群，请使用 --membership=MEMBERSHIP_NAME，将 MEMBERSHIP_NAME 替换为已注册集群的成员资格名称。

配置副本数量

您可以通过设置副本数量来为 ReplicaSet 配置 Policy Controller 部署。

如需设置副本数量，请运行以下命令：

gcloud container fleet policycontroller deployment set DEPLOYMENT_TYPE replica-count QUANTITY \
  --all-memberships

请替换以下内容：

• DEPLOYMENT_TYPE：您要为其设置副本数量的部署类型。值为 mutation 或 admission。
• QUANTITY：您要设置的副本数量，例如 3。

如需移除副本数量，请运行以下命令：

gcloud container fleet policycontroller deployment remove DEPLOYMENT_TYPE replica-count \
  --all-memberships

将 DEPLOYMENT_TYPE 替换为您要从中移除副本的部署类型。此值为 mutation 或 admission。

设置资源要求

您可以指定内存和 CPU 方面的限制和请求。

设置内存限制和请求

如需设置内存限制，请运行以下命令：

gcloud container fleet policycontroller deployment set DEPLOYMENT_TYPE memory-limit QUANTITY \
  --all-memberships

请替换以下内容：

• DEPLOYMENT_TYPE：您要对其设置内存限制的部署类型。以下值之一：audit、mutation 或 admission。
• QUANTITY：您要使用数量后缀设置的数量，例如 4Gi。

如需设置内存请求，请运行以下命令：

gcloud container fleet policycontroller deployment set DEPLOYMENT_TYPE memory-request QUANTITY \
  --all-memberships

请替换以下内容：

• DEPLOYMENT_TYPE：您要对其设置内存请求的部署类型。以下值之一：audit、mutation 或 admission。
• QUANTITY：您要使用数量后缀设置的数量，例如 2Gi。

设置 CPU 限制和请求

如需设置 CPU 限制，请运行以下命令：

gcloud container fleet policycontroller deployment set DEPLOYMENT_TYPE cpu-limit QUANTITY \
  --all-memberships

请替换以下内容：

• DEPLOYMENT_TYPE：您要对其设置 CPU 限制的部署类型。以下值之一：audit、mutation 或 admission。
• QUANTITY：您要设置的 CPU 数量，例如 500m。

如需设置 CPU 请求，请运行以下命令：

gcloud container fleet policycontroller deployment set DEPLOYMENT_TYPE cpu-request QUANTITY \
  --all-memberships

请替换以下内容：

• DEPLOYMENT_TYPE：您要对其设置 CPU 请求的部署类型。以下值之一：audit、mutation 或 admission。
• QUANTITY：您要设置的数量，例如 250m。

移除限制和请求

如需移除配置，请运行以下命令：

gcloud container fleet policycontroller deployment remove DEPLOYMENT_TYPE RESOURCE_TYPE \
  --all-memberships

请替换以下内容：

• DEPLOYMENT_TYPE：您要对其移除请求或限制的部署类型。以下值之一：audit、mutation 或 admission。
• RESOURCE_TYPE：您要移除的资源类型。以下值之一：memory-limit、memory-request、cpu-limit、cpu-request。

配置容忍

您可以对 Policy Controller 部署设置容忍。

您可以使用以下方法之一设置容忍：

• 如需使用键设置容忍，请运行以下命令：

  gcloud container fleet policycontroller deployment set admission toleration KEY \
    --all-memberships
  

  将 KEY 替换为您的键值，例如 key1。

• 如需使用键和值设置容忍，请运行以下命令：

  gcloud container fleet policycontroller deployment set admission toleration KEY=VALUE \
    --all-memberships
  

  请替换以下内容：

  • KEY：您的键值，例如 key1。
  • VALUE：您的键值，例如 value1。

• 如需使用键和值以及效果 NoSchedule 设置容忍，请运行以下命令：

  gcloud container fleet policycontroller deployment set admission toleration KEY=VALUE \
    --all-memberships \
    --effect=NoSchedule
  

  请替换以下内容：

  • KEY：您的键值，例如 key1。
  • VALUE：您的键值，例如 value1。

如果您需要修改容忍，则必须移除现有容忍，然后使用前面的某个命令设置新容忍。如需移除容忍，请使用 remove 而不是 set 运行前面的命令，例如：

gcloud container fleet policycontroller deployment remove admission toleration KEY=VALUE \
  --all-memberships

配置亲和性

您可以对 Policy Controller 部署设置 Pod 亲和性。可用设置为 anti（对应于反亲和性）和 none（对应于无亲和性）。对于 admissions 部署，anti 为默认值。对于所有其他部署，none 为默认值。

如需设置 Pod 反亲和性，请运行以下命令：

gcloud container fleet policycontroller deployment set mutation pod-affinity anti \
  --all-memberships

如需移除 Pod 亲和性，请运行以下命令：

gcloud container fleet policycontroller deployment set mutation pod-affinity none \
  --all-memberships