정책 컨트롤러에서 네임스페이스 제외

이 페이지에서는 정책 컨트롤러에서 예외 네임스페이스를 구성하는 방법을 설명합니다.

예외 네임스페이스는 정책 컨트롤러를 사용하여 허용 웹훅 시행에서 네임스페이스를 삭제하지만 모든 위반은 여전히 감사에서 계속 보고됩니다. 네임스페이스를 구성하지 않으면 gatekeeper-system 네임스페이스만 정책 컨트롤러 허용 웹훅 시행을 예외로 처리하도록 구성됩니다.

예외 네임스페이스 구성

예외 가능한 네임스페이스를 구성하면 정책 컨트롤러 허용 웹훅 시행에서 네임스페이스를 예외로 처리하는 admission.gatekeeper.sh/ignore 라벨이 적용됩니다. 예외 가능한 네임스페이스를 나중에 삭제하면 정책 컨트롤러가 네임스페이스에서 admission.gatekeeper.sh/ignore 라벨을 삭제하지 않습니다.

시행 시 네임스페이스 예외

정책 컨트롤러 설치 중 또는 설치 후 네임스페이스를 예외로 처리할 수 있습니다. 다음 프로세스는 설치 후 네임스페이스를 예외로 처리하는 방법을 보여줍니다.

콘솔

Google Cloud 콘솔에서 상황 관리 섹션 아래의 GKE Enterprise 정책 페이지로 이동합니다.

정책으로 이동
설정 탭의 클러스터 테이블에서 구성 수정 열의 수정 을 선택합니다.
정책 컨트롤러 구성 수정 메뉴를 확장합니다.
네임스페이스 면제 필드에 유효한 네임스페이스 목록을 입력합니다. 이 네임스페이스의 객체는 모든 정책에서 무시됩니다. 네임스페이스는 아직 없어도 됩니다.
변경사항 저장을 선택합니다.

gcloud

허용 웹훅으로 시행에서 제외할 수 있는 네임스페이스 목록에 네임스페이스를 추가하려면 다음 명령어를 실행합니다.

  gcloud container fleet policycontroller update \
    --memberships=MEMBERSHIP_NAME \
    --exemptable-namespaces=[NAMESPACE_LIST]

다음을 바꿉니다.

MEMBERSHIP_NAME: 네임스페이스를 제외할 등록된 클러스터의 멤버십 이름. 쉼표로 구분하여 여러 멤버십을 지정할 수 있습니다.
NAMESPACE_LIST: 정책 컨트롤러에서 시행에서 제외할 쉼표로 구분된 네임스페이스 목록

이 명령어는 허용 웹훅에서만 리소스를 제외합니다. 리소스는 계속 감사됩니다. 대신 네임스페이스를 감사에서 제외하려면 정책 번들 수준에서 예외를 설정합니다.

  gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
    --memberships=MEMBERSHIP_NAME \
    --exempted-namespaces=[NAMESPACE_LIST]