Google Cloud コンソールで Policy Controller のトライアル レポートを作成して、Google Kubernetes Engine(GKE)Enterprise エディション クラスタを監査できます。このトライアルでは、Google 推奨のベスト プラクティスに基づく一連の基本ポリシーである Policy Essentials バンドルを使用してクラスタを監査できます。ポリシー違反は、Google Cloud コンソールのダッシュボードで確認できます。
このトライアルでは、クラスタに Policy Controller をインストールしないため、課金は発生しません。Policy Controller をインストールすることで、CI / CD やアドミッション タイムでのポリシー適用、クラスタの継続的な監査、フル制約テンプレート ライブラリへのアクセスなどの機能を利用できるようになります。これにより、カスタム制約を作成せずに制約を適用し、ポリシーを適用することが可能になります。
このタスクを Google Cloud コンソールで直接行う際の順を追ったガイダンスについては、「ガイドを表示」をクリックしてください。
始める前に
Kubernetes バージョン 1.14.x 以降を実行している Google Kubernetes Engine クラスタにアクセスできることを確認してください。
Policy Controller を試すために必要な権限を取得するには、プロジェクトの Kubernetes Engine Cluster 管理者(
roles/container.clusterAdmin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与の詳細については、ロールを管理するをご覧ください。この事前定義ロールには、Policy Controller を試すために必要な権限が含まれています。必要となる権限は次のとおりです。
- container.clusterRoleBindings.create
- container.clusterRoles.create
- container.configMaps.create
- container.jobs.create
- container.namespaces.create
- container.networkPolicies.create
- container.roleBindings.create
- container.roles.create
container.serviceAccounts.create
Policy Controller のトライアル レポートを作成する
- Google Cloud コンソールで [GKE Enterprise] に移動し、[体制の管理] の下にある [ポリシー] を選択します。
[Policy Controller を試す] を選択します。
Policy Controller トライアルで監査するクラスタを選択します。
[レポートを作成] をクリックします。
数分後、クラスタに対して生成されたレポートが表示されます。クラスタ内のポリシー違反の数と違反の詳細を確認できます。
トライアルを実行するために作成したリソースとともにレポートを削除するには、[レポートを削除] を選択します。
次のステップ
- Policy Controller の詳細を確認する。
- Policy Controller のバンドルの詳細を確認する。
- Policy Controller をインストールする。
- 制約を作成する方法を学ぶ。
- Google 提供の制約テンプレート ライブラリを使用する。
- CIS Kubernetes Benchmark のポリシーの制約を使用する方法を確認する。