Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questa pagina descrive come configurare gli spazi dei nomi esenti in Policy Controller.
Gli spazi dei nomi esentati rimuovono uno spazio dei nomi dall'applicazione del webhook di ammissione con
Policy Controller, ma eventuali violazioni vengono comunque segnalate in
audit. Se non configuri spazi dei nomi, solo lo spazio dei nomi gatekeeper-system è preconfigurato come esente dall'applicazione del webhook di ammissione di Policy Controller.
Configura gli spazi dei nomi esenti
La configurazione di uno spazio dei nomi esentabile applica l'etichetta
admission.gatekeeper.sh/ignore, che esenta lo spazio dei nomi dall'applicazione del webhook di ammissione di Policy Controller. Se in un secondo momento rimuovi uno spazio dei nomi esentabile,
Policy Controller non rimuove l'etichetta admission.gatekeeper.sh/ignore
dallo spazio dei nomi.
Escludere gli spazi dei nomi dall'applicazione
Puoi escludere gli spazi dei nomi
durante l'installazione di Policy Controller
o dopo l'installazione. La seguente procedura mostra come esentare gli spazi dei nomi
dopo l'installazione.
Console
Nella console Google Cloud , vai alla pagina Policy di GKE Enterprise nella sezione Posture Management.
Nella scheda Impostazioni, seleziona Modificaedit nella colonna Modifica configurazione della tabella del cluster.
Espandi il menu Modifica la configurazione di Policy Controller.
Nel campo Spazi dei nomi esenti, fornisci un elenco di spazi dei nomi validi.
Gli oggetti in questi spazi dei nomi vengono ignorati da tutti i criteri. Non è necessario che gli spazi dei nomi esistano già.
Seleziona Salva modifiche.
gcloud
Per aggiungere spazi dei nomi all'elenco di spazi dei nomi che possono essere esentati
dall'applicazione da parte del webhook di ammissione, esegui questo comando:
MEMBERSHIP_NAME: il nome dell'appartenenza del cluster registrato su cui esentare gli spazi dei nomi. Puoi specificare più abbonamenti separati da una virgola.
NAMESPACE_LIST: un elenco di spazi dei nomi separati da virgole
che vuoi che Policy Controller esenti dall'applicazione.
Questo comando esenta le risorse solo dal webhook di ammissione. Le risorse
sono ancora in fase di controllo. Per esentare invece gli spazi dei nomi dal controllo, imposta l'esenzione a livello di bundle di criteri:
BUNDLE_NAME con il nome del bundle di policy
che vuoi aggiornare con gli spazi dei nomi esenti.
MEMBERSHIP_NAME: il nome dell'appartenenza del cluster registrato su cui esentare gli spazi dei nomi. Puoi specificare più abbonamenti separati da una virgola.
NAMESPACE_LIST: un elenco di spazi dei nomi separati da virgole
che vuoi che Policy Controller esenti dall'applicazione.
Spazi dei nomi da escludere dall'applicazione
Questi sono alcuni spazi dei nomi che potrebbero essere creati da Google Kubernetes Engine (GKE)
e prodotti correlati. Potresti voler esentarli dall'applicazione per evitare
un impatto indesiderato:
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-01 UTC."],[],[],null,["This page describes how to configure exempt namespaces in Policy Controller.\n| **Caution:** Namespace exemption from the admission webhook is possible only on Standard clusters. For Autopilot clusters, you can [define exemptions on the constraint](/kubernetes-engine/enterprise/policy-controller/docs/how-to/creating-policy-controller-constraints#constraint) instead.\n\nExempt namespaces remove a namespace from admission webhook enforcement with\nPolicy Controller, but any violations are still reported in\n[audit](/kubernetes-engine/enterprise/policy-controller/docs/how-to/auditing-constraints). If you don't configure any\nnamespaces, only the `gatekeeper-system` namespace is pre-configured as exempt\nfrom the Policy Controller admission webhook enforcement.\n\nConfigure exempt namespaces\n\nConfiguring an exemptable namespace applies the\n`admission.gatekeeper.sh/ignore` label, which exempts the namespace from Policy Controller\nadmission webhook enforcement. If you later remove an exemptable namespace,\nPolicy Controller does not remove the `admission.gatekeeper.sh/ignore` label\nfrom the namespace.\n\nExempt namespaces from enforcement\n\nYou can exempt namespaces either\n[during Policy Controller installation](/kubernetes-engine/enterprise/policy-controller/docs/how-to/installing-policy-controller#installing),\nor after installation. The following process shows you how to exempt namespaces\nafter installation. \n\nConsole\n\n1. In the Google Cloud console, go to the **Policy** page under the **Posture Management** section.\n\n \u003cbr /\u003e\n\n [Go to Policy](https://console.cloud.google.com/kubernetes/policy_controller)\n2. Under the **Settings** tab, in the cluster table, select **Edit** *edit* in the **Edit configuration** column.\n3. Expand the **Edit Policy Controller configuration** menu.\n4. In the **Exempt namespaces** field, provide a list of valid namespaces. Objects in these namespaces are ignored by all policies. The namespaces don't need to exist yet.\n5. Select **Save changes**.\n\ngcloud\n\nTo add namespaces to the list of namespaces that may be exempted from\nenforcement by the admission webhook, run the following command: \n\n gcloud container fleet policycontroller update \\\n --memberships=\u003cvar translate=\"no\"\u003eMEMBERSHIP_NAME\u003c/var\u003e \\\n --exemptable-namespaces=[\u003cvar translate=\"no\"\u003eNAMESPACE_LIST\u003c/var\u003e]\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003eMEMBERSHIP_NAME\u003c/var\u003e: the membership name of the registered cluster to exempt namespaces on. You can specify multiple memberships separated by a comma.\n- \u003cvar translate=\"no\"\u003eNAMESPACE_LIST\u003c/var\u003e: a comma-separated list of namespaces that you want Policy Controller to exempt from enforcement.\n\nThis command exempts resources only from the admission webhook. The resources\nare still audited. To instead exempt namespaces from audit, set the\nexemption at the policy bundle level instead: \n\n gcloud container fleet policycontroller content bundles set \u003cvar translate=\"no\"\u003eBUNDLE_NAME\u003c/var\u003e \\\n --memberships=\u003cvar translate=\"no\"\u003eMEMBERSHIP_NAME\u003c/var\u003e \\\n --exempted-namespaces=[\u003cvar translate=\"no\"\u003eNAMESPACE_LIST\u003c/var\u003e]\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003eBUNDLE_NAME\u003c/var\u003e with the name of the policy bundle that you want to update with exempted namespaces.\n- \u003cvar translate=\"no\"\u003eMEMBERSHIP_NAME\u003c/var\u003e: the membership name of the registered cluster to exempt namespaces on. You can specify multiple memberships separated by a comma.\n- \u003cvar translate=\"no\"\u003eNAMESPACE_LIST\u003c/var\u003e: a comma-separated list of namespaces that you want Policy Controller to exempt from enforcement.\n\nNamespaces to exempt from enforcement\n\nThese are some namespaces which could be created by Google Kubernetes Engine (GKE)\nand related products. You may want to exempt them from enforcement to avoid\nundesired impact: \n\n - anthos-creds\n - anthos-identity-service\n - apigee\n - apigee-system\n - asm-system\n - capi-kubeadm-bootstrap-system\n - capi-system\n - cert-manager\n - cnrm-system\n - config-management-monitoring\n - config-management-system\n - gke-connect\n - gke-gmp-system\n - gke-managed-cim\n - gke-managed-filestorecsi\n - gke-managed-metrics-server\n - gke-managed-system\n - gke-system\n - gmp-public\n - gmp-system\n - hnc-system\n - istio-system\n - kube-node-lease\n - kube-public\n - kube-system\n - poco-trial\n - resource-group-system\n - vm-system"]]
