Policy Controller include una libreria predefinita di modelli di vincolo che possono essere utilizzati con il pacchetto Criterio costi e affidabilità che aiuta ad adottare le best practice per l'esecuzione di GKE a basso costo senza compromettere le prestazioni o l'affidabilità dei carichi di lavoro.
Vincoli del bundle dei criteri di costi e affidabilità
Nome vincolo | Descrizione vincolo |
---|---|
cost-reliability-v2023-pod-disruption-budget | Richiede la configurazione di PodDisruptionBudget per deployment, ReplicaSet, StatefulSet e ReplicationControllers. |
cost-reliability-v2023-pod-resources-best-practices | Richiede che i container impostino richieste di risorse e seguano le best practice. |
cost-reliability-v2023-required-labels | Richiede che tutti i pod e i controller (ReplicaSet, Deployment, StatefulSet e DaemonSet) dispongano delle etichette richieste: ambiente, team e app. |
cost-reliability-v2023-restrict-repos | Limita le immagini container a un elenco di repository consentito per utilizzare Artifact Registry per sfruttare lo flusso di immagini. |
cost-reliability-v2023-spotvm-termination-grace | Richiede terminaGracePeriodSeconds di massimo 15 secondi per i pod e i modelli di pod con un nodeSelector o nodeAfffinty per gke-spot. |
Prima di iniziare
- Installa e inizializza Google Cloud CLI
, che fornisce i comandi
gcloud
ekubectl
utilizzati in queste instructions. Se utilizzi Cloud Shell, Google Cloud CLI fornisce sono preinstallate. - Installa Policy Controller sul tuo cluster con la libreria predefinita modelli di machine learning. Devi anche attivare il supporto per i riferimenti vincoli poiché questo bundle contiene vincoli referenziali.
Configura Policy Controller per i vincoli di riferimento
Salva il seguente manifest YAML in un file come
policycontroller-config.yaml
. Il manifest configura Policy Controller per il controllo di tipi specifici di oggetti.apiVersion: config.gatekeeper.sh/v1alpha1 kind: Config metadata: name: config namespace: "gatekeeper-system" spec: sync: syncOnly: - group: "" version: "v1" kind: "Service" - group: "policy" version: "v1" kind: "PodDisruptionBudget"
Applica il manifest
policycontroller-config.yaml
:kubectl apply -f policycontroller-config.yaml
Configura il cluster e il carico di lavoro
- Qualsiasi
pod
selezionato da unservice
deve includere probe di idoneità. - Tutti gli attributi
deployment
,replicaset
,statefulset
ereplicationcontroller
devono includere un elementopoddisruptionbudget
. - Tutti i container devono includere richieste
cpu
ememory
e un limite dimemory
uguale amemory
richieste che seguono le best practice. - Aggiungi le etichette
environment
,team
eapp
a tutti i pod e i modelli di pod. - Ospita le immagini container utilizzando Artifact Registry nello stesso
region come cluster per abilitare Streaming di immagini.
Consenti l'elemento Artifact Registry pertinente seguendo l'esempio in
cost-reliability-v2023-restrict-repos
. - Tutti i pod e i modelli di pod utilizzando
gke-spot
deve includere unterminationGracePeriodSeconds
di massimo 15 secondi.
Controllo del pacchetto dei criteri di costi e affidabilità
Policy Controller consente di applicare i criteri per il cluster Kubernetes. Per aiutare testare i carichi di lavoro e la loro conformità in termini di costi e affidabilità ai criteri descritti nella tabella precedente, puoi eseguire il deployment di questi vincoli "controllare" per rivelare le violazioni e, soprattutto, darsi la possibilità di correggerli prima di applicarli al cluster Kubernetes.
Puoi applicare questi criteri con l'impostazione spec.enforcementAction
impostata su dryrun
utilizzando
kubectl,
kpt
o
Sincronizzazione configurazione
.
kubectl
(Facoltativo) Visualizza l'anteprima dei vincoli dei criteri con kubectl:
kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/cost-reliability-v2023
Applica i vincoli dei criteri con kubectl:
kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/cost-reliability-v2023
L'output è il seguente:
gkespotvmterminationgrace.constraints.gatekeeper.sh/cost-reliability-v2023-spotvm-termination-grace created k8sallowedrepos.constraints.gatekeeper.sh/cost-reliability-v2023-restrict-repos created k8spoddisruptionbudget.constraints.gatekeeper.sh/cost-reliability-v2023-pod-disruption-budget created k8spodresourcesbestpractices.constraints.gatekeeper.sh/cost-reliability-v2023-pod-resources-best-practices created k8srequiredlabels.constraints.gatekeeper.sh/cost-reliability-v2023-required-labels created
Verifica che i vincoli dei criteri siano stati installati e che se violazioni in tutto il cluster:
kubectl get constraints -l policycontroller.gke.io/bundleName=cost-reliability-v2023
L'output è simile al seguente:
NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS gkespotvmterminationgrace.constraints.gatekeeper.sh/cost-reliability-v2023-spotvm-termination-grace dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spodresourcesbestpractices.constraints.gatekeeper.sh/cost-reliability-v2023-pod-resources-best-practices dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spoddisruptionbudget.constraints.gatekeeper.sh/cost-reliability-v2023-pod-disruption-budget dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sallowedrepos.constraints.gatekeeper.sh/cost-reliability-v2023-restrict-repos dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequiredlabels.constraints.gatekeeper.sh/cost-reliability-v2023-required-labels dryrun 0
kpt
Installa e configura kpt.
kpt viene utilizzato in queste istruzioni per personalizzare ed eseguire il deployment di Kubernetes Google Cloud.
Scarica il bundle di criteri PCI-DSS v3.2.1 da GitHub utilizzando kpt:
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/cost-reliability-v2023
Esegui l'
set-enforcement-action
kpt per impostare il valore provvedimento in merito adryrun
:kpt fn eval cost-reliability-v2023 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \ -- enforcementAction=dryrun
Inizializza la directory di lavoro con kpt, che crea una risorsa tieni traccia delle modifiche:
cd cost-reliability-v2023 kpt live init
Applica i vincoli dei criteri con kpt:
kpt live apply
Verifica che i vincoli dei criteri siano stati installati e che se violazioni in tutto il cluster:
kpt live status --output table --poll-until current
Lo stato
CURRENT
conferma l'avvenuta installazione dei vincoli.
Config Sync
Installa e configura kpt.
kpt viene utilizzato in queste istruzioni per personalizzare ed eseguire il deployment di Kubernetes Google Cloud.
Gli operatori che utilizzano Config Sync per il deployment dei criteri nei propri cluster possono utilizzare segui queste istruzioni:
Passa alla directory di sincronizzazione per Config Sync:
cd SYNC_ROOT_DIR
Per creare o aggiungere
.gitignore
conresourcegroup.yaml
:echo resourcegroup.yaml >> .gitignore
Crea una directory
policies
dedicata:mkdir -p policies
Scarica il bundle dei criteri relativi a costi e affidabilità da GitHub utilizzando kpt:
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/cost-reliability-v2023 policies/cost-reliability-v2023
Esegui l'
set-enforcement-action
kpt per impostare il valore provvedimento in merito adryrun
:kpt fn eval policies/cost-reliability-v2023 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun
(Facoltativo) Visualizza l'anteprima dei vincoli del criterio da creare:
kpt live init policies/cost-reliability-v2023 kpt live apply --dry-run policies/cost-reliability-v2023
Se la directory di sincronizzazione per Config Sync utilizza Kustomize aggiungi
policies/cost-reliability-v2023
al tuokustomization.yaml
principale. In caso contrario, rimuovi il filepolicies/cost-reliability-v2023/kustomization.yaml
:rm SYNC_ROOT_DIR/policies/cost-reliability-v2023/kustomization.yaml
Esegui il push delle modifiche al repository di Config Sync:
git add SYNC_ROOT_DIR/policies/cost-reliability-v2023 git commit -m 'Adding Cost and Reliability policy audit enforcement' git push
Verifica lo stato dell'installazione:
watch gcloud beta container fleet config-management status --project PROJECT_ID
Lo stato
SYNCED
conferma l'installazione dei criteri.
Visualizza le violazioni delle norme
Una volta installati i vincoli dei criteri in modalità di controllo, le violazioni il cluster può essere visualizzato nell'interfaccia utente utilizzando Policy Controller Fitbit.com.
Puoi anche utilizzare kubectl
per visualizzare le violazioni nel cluster utilizzando quanto segue
:
kubectl get constraint -l policycontroller.gke.io/bundleName=cost-reliability-v2023 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'
Se sono presenti violazioni, un elenco dei messaggi di violazione per vincolo possono essere visualizzati con:
kubectl get constraint -l policycontroller.gke.io/bundleName=cost-reliability-v2023 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'
Modifica l'azione di applicazione del pacchetto di criteri relativi a costi e affidabilità
Dopo aver esaminato le violazioni delle norme nel tuo cluster, puoi prendere in considerazione
modifica la modalità di applicazione forzata in modo che il controller di ammissione warn
su
o addirittura deny
, che impediscono che una risorsa non conforme venga applicata al cluster.
kubectl
Utilizza kubectl per impostare provvedimento per
warn
:kubectl get constraints -l policycontroller.gke.io/bundleName=cost-reliability-v2023 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'
Verifica che l'azione di applicazione dei vincoli dei criteri sia stata aggiornata:
kubectl get constraints -l policycontroller.gke.io/bundleName=cost-reliability-v2023
kpt
Esegui l'
set-enforcement-action
kpt per impostare il valore provvedimento in merito awarn
:kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
Applica i vincoli dei criteri:
kpt live apply
Config Sync
Gli operatori che utilizzano Config Sync per il deployment dei criteri nei propri cluster possono utilizzare segui queste istruzioni:
Passa alla directory di sincronizzazione per Config Sync:
cd SYNC_ROOT_DIR
Esegui l'
set-enforcement-action
kpt per impostare il valore provvedimento in merito awarn
:kpt fn eval policies/cost-reliability-v2023 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
Esegui il push delle modifiche al repository di Config Sync:
git add SYNC_ROOT_DIR/policies/cost-reliability-v2023 git commit -m 'Adding Cost and Reliability policy bundle warn enforcement' git push
Verifica lo stato dell'installazione:
gcloud alpha anthos config sync repo list --project PROJECT_ID
Il repository visualizzato nella colonna
SYNCED
conferma l'installazione del criteri.
Testa l'applicazione dei criteri
Crea una risorsa non conforme sul cluster utilizzando il seguente comando:
cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
namespace: default
name: wp-non-compliant
labels:
app: wordpress
spec:
containers:
- image: wordpress
name: wordpress
ports:
- containerPort: 80
hostPort: 80
name: wordpress
EOF
Il controller di ammissione dovrebbe visualizzare un avviso che elenca il criterio violazioni violate da questa risorsa, come mostrato nell'esempio seguente:
Warning: [cost-reliability-v2023-pod-resources-best-practices] Container <wordpress> must set <cpu> request. Warning: [cost-reliability-v2023-pod-resources-best-practices] Container <wordpress> must set <memory> request. Warning: [cost-reliability-v2023-required-labels] This app is missing one or more required labels: `environment`, `team`, and `app`. Warning: [cost-reliability-v2023-restrict-repos] container <wordpress> has an invalid image repo <wordpress>, allowed repos are ["gcr.io/gke-release/", "gcr.io/anthos-baremetal-release/", "gcr.io/config-management-release/", "gcr.io/kubebuilder/", "gcr.io/gkeconnect/", "gke.gcr.io/"] pod/wp-non-compliant created
Rimuovi il pacchetto dei criteri di costi e affidabilità
Se necessario, il pacchetto dei criteri relativi a costi e affidabilità può essere rimosso in un cluster Kubernetes.
kubectl
Utilizza kubectl per rimuovere i criteri:
kubectl delete constraint -l policycontroller.gke.io/bundleName=cost-reliability-v2023
kpt
Rimuovi i criteri:
kpt live destroy
Config Sync
Gli operatori che utilizzano Config Sync per il deployment dei criteri nei propri cluster possono utilizzare segui queste istruzioni:
Esegui il push delle modifiche al repository di Config Sync:
git rm -r SYNC_ROOT_DIR/policies/cost-reliability-v2023 git commit -m 'Removing Cost and Reliability policies' git push
Verifica lo stato:
gcloud alpha anthos config sync repo list --project PROJECT_ID
Il tuo repository visualizzato nella colonna
SYNCED
conferma la rimozione di i criteri.