Halaman ini menjelaskan apa itu Pengontrol Kebijakan dan bagaimana Anda dapat menggunakannya untuk membantu memastikan cluster Kubernetes dan workload berjalan dengan cara yang aman dan sesuai peraturan.
Pengontrol Kebijakan memungkinkan penerapan dan penerapan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda. Kebijakan ini berfungsi sebagai pengaman dan dapat membantu pengelolaan praktik terbaik, keamanan, dan kepatuhan cluster dan fleet Anda. Berdasarkan project Gatekeeper Agen Kebijakan Terbuka open source, Pengontrol Kebijakan terintegrasi sepenuhnya dengan Google Cloud, memiliki dasbor bawaan untuk kemampuan observasi, dan dilengkapi dengan library lengkap berisi kebijakan bawaan untuk kontrol kepatuhan dan keamanan umum.
Pengontrol Kebijakan tersedia dengan lisensi edisi Google Kubernetes Engine (GKE) Enterprise.
Manfaat Pengontrol Kebijakan
- Terintegrasi dengan Google Cloud: Admin platform dapat menginstal Pengontrol Kebijakan menggunakan Konsol Google Cloud, Terraform, atau menggunakan Google Cloud CLI di cluster mana pun yang terhubung ke fleet Anda. Pengontrol Kebijakan berfungsi dengan layanan Google Cloud lainnya seperti Sinkronisasi Konfigurasi, metrics, dan Cloud Monitoring.
- Mendukung beberapa titik penegakan: Selain kontrol audit dan penerimaan untuk cluster Anda, Pengontrol Kebijakan dapat secara opsional mengaktifkan pendekatan shift-kiri untuk menganalisis dan menemukan perubahan yang tidak mematuhi kebijakan sebelum penerapan.
- Paket kebijakan bawaan: Pengontrol Kebijakan dilengkapi library lengkap berisi kebijakan bawaan untuk kontrol kepatuhan dan keamanan umum. Paket ini mencakup Paket kebijakan, yang dibuat dan dikelola oleh Google, dan library template batasan.
- Mendukung kebijakan kustom: Jika penyesuaian kebijakan diperlukan di luar yang tersedia menggunakan library template batasan, Pengontrol Kebijakan juga mendukung pengembangan template batasan kustom.
- Kemampuan observasi bawaan: Pengontrol Kebijakan mencakup dasbor Konsol Google Cloud, yang memberikan ringkasan untuk status semua kebijakan yang diterapkan pada fleet Anda (termasuk cluster yang tidak terdaftar). Dari dasbor, lihat status kepatuhan dan penegakan untuk membantu Anda memecahkan masalah, dan dapatkan rekomendasi yang opini untuk menyelesaikan pelanggaran kebijakan.
Paket kebijakan
Anda dapat menggunakan paket kebijakan untuk menerapkan sejumlah batasan yang dikelompokkan berdasarkan tema kepatuhan, keamanan, atau standar Kubernetes tertentu. Paket kebijakan ini dibuat dan dikelola oleh Google, sehingga siap Anda gunakan tanpa harus menulis kode apa pun. Misalnya, Anda dapat menggunakan paket kebijakan berikut:
- Terapkan banyak persyaratan yang sama seperti PodSecurityPolicies, tetapi dengan kemampuan tambahan untuk mengaudit konfigurasi Anda sebelum menerapkannya, pastikan perubahan kebijakan apa pun tidak akan mengganggu workload yang sedang berjalan.
- Gunakan batasan yang kompatibel dengan Cloud Service Mesh untuk mengaudit kepatuhan kerentanan dan praktik terbaik keamanan mesh Anda.
- Terapkan praktik terbaik umum ke resource cluster Anda untuk membantu memperkuat postur keamanan Anda.
Ringkasan paket Pengontrol Kebijakan memberikan detail selengkapnya dan daftar paket kebijakan yang saat ini tersedia.
Batasan
Pengontrol Kebijakan menerapkan kepatuhan cluster Anda menggunakan objek yang disebut batasan. Anda dapat menganggap batasan sebagai "elemen penyusun" kebijakan. Setiap batasan menentukan perubahan spesifik pada Kubernetes API yang diizinkan atau tidak diizinkan di cluster yang menerapkannya. Anda dapat menetapkan kebijakan untuk secara aktif memblokir permintaan API yang tidak mematuhi kebijakan atau mengaudit konfigurasi cluster dan melaporkan pelanggaran. Dalam kedua kasus tersebut, Anda dapat melihat pesan peringatan yang berisi detail tentang pelanggaran yang terjadi di cluster. Dengan informasi itu, Anda dapat memperbaiki masalah. Misalnya, Anda dapat menggunakan batasan individual berikut:
- Wajibkan setiap namespace memiliki setidaknya satu label. Misalnya, batasan ini dapat digunakan untuk memastikan pelacakan konsumsi resource yang akurat saat menggunakan Pengukuran Penggunaan GKE.
- Membatasi repositori tempat image container tertentu dapat diambil. Batasan ini memastikan setiap upaya untuk menarik container dari sumber yang tidak dikenal ditolak, sehingga melindungi cluster Anda agar tidak menjalankan software yang berpotensi berbahaya.
- Mengontrol apakah container dapat berjalan dalam mode hak istimewa atau tidak. Batasan ini mengontrol kemampuan penampung apa pun untuk mengaktifkan mode hak istimewa, yang memberi Anda kontrol atas penampung mana (jika ada) yang dapat dijalankan dengan kebijakan yang tidak dibatasi.
Ini hanyalah beberapa batasan yang disediakan di library template batasan yang disertakan dengan Pengontrol Kebijakan. Library ini berisi banyak kebijakan yang dapat Anda gunakan untuk membantu menerapkan praktik terbaik dan membatasi risiko. Jika memerlukan lebih banyak penyesuaian selain yang tersedia di library template batasan, Anda juga dapat membuat template batasan kustom.
Batasan dapat diterapkan langsung ke cluster Anda menggunakan Kubernetes API, atau didistribusikan ke sekumpulan cluster dari sumber terpusat, seperti repositori Git, menggunakan Config Sync.