Excluir espacios de nombres de Policy Controller

En esta página se describe cómo configurar espacios de nombres exentos en Policy Controller.

Los espacios de nombres exentos quitan un espacio de nombres de la aplicación del webhook de admisión con Policy Controller, pero las infracciones se siguen registrando en la auditoría. Si no configuras ningún espacio de nombres, solo el espacio de nombres gatekeeper-system se preconfigurará como exento de la aplicación del webhook de admisión de Policy Controller.

Configurar espacios de nombres exentos

Al configurar un espacio de nombres que se puede eximir, se aplica la etiqueta admission.gatekeeper.sh/ignore, que exime al espacio de nombres de la aplicación del webhook de admisión de Policy Controller. Si más adelante quitas un espacio de nombres que se puede eximir, Policy Controller no quitará la etiqueta admission.gatekeeper.sh/ignore del espacio de nombres.

Eximir espacios de nombres de la aplicación

Puedes excluir espacios de nombres durante la instalación de Policy Controller o después de la instalación. En el siguiente proceso se muestra cómo excluir espacios de nombres después de la instalación.

Consola

  1. En la consola, vaya a la página Política de la sección Gestión de postura. Google Cloud

    Ir a la política

  2. En la pestaña Configuración, en la tabla de clústeres, seleccione Editar en la columna Editar configuración.
  3. Despliega el menú Editar configuración de Policy Controller.
  4. En el campo Espacios de nombres exentos, proporcione una lista de espacios de nombres válidos. Las políticas ignoran los objetos de estos espacios de nombres. Los espacios de nombres no tienen por qué existir aún.
  5. Selecciona Guardar cambios.

gcloud

Para añadir espacios de nombres a la lista de espacios de nombres que pueden estar exentos de la aplicación por parte del webhook de admisión, ejecuta el siguiente comando:

  gcloud container fleet policycontroller update \
    --memberships=MEMBERSHIP_NAME \
    --exemptable-namespaces=[NAMESPACE_LIST]

Haz los cambios siguientes:

  • MEMBERSHIP_NAME: el nombre de miembro del clúster registrado en el que se van a excluir los espacios de nombres. Puedes especificar varias suscripciones separadas por comas.
  • NAMESPACE_LIST: lista de espacios de nombres separados por comas que quieres que Policy Controller exima de la aplicación.

Este comando solo exime los recursos del webhook de admisión. Los recursos se siguen auditando. Para eximir espacios de nombres de la auditoría, defina la exención a nivel del paquete de políticas:

  gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
    --memberships=MEMBERSHIP_NAME \
    --exempted-namespaces=[NAMESPACE_LIST]

Haz los cambios siguientes:

  • BUNDLE_NAME con el nombre del paquete de políticas que quieras actualizar con los espacios de nombres exentos.
  • MEMBERSHIP_NAME: el nombre de miembro del clúster registrado en el que se van a excluir los espacios de nombres. Puedes especificar varias suscripciones separadas por comas.
  • NAMESPACE_LIST: lista de espacios de nombres separados por comas que quieres que Policy Controller exima de la aplicación.

Espacios de nombres que se deben excluir de la aplicación

Estos son algunos espacios de nombres que podría crear Google Kubernetes Engine (GKE) y productos relacionados. Puede que quieras eximir a estos usuarios para evitar que se produzcan consecuencias no deseadas:

- anthos-creds
- anthos-identity-service
- apigee
- apigee-system
- asm-system
- capi-kubeadm-bootstrap-system
- capi-system
- cert-manager
- cnrm-system
- config-management-monitoring
- config-management-system
- gke-connect
- gke-gmp-system
- gke-managed-cim
- gke-managed-filestorecsi
- gke-managed-metrics-server
- gke-managed-system
- gke-system
- gmp-public
- gmp-system
- hnc-system
- istio-system
- kube-node-lease
- kube-public
- kube-system
- poco-trial
- resource-group-system
- vm-system