정책 관리자 개요

이 페이지에서는 정책 컨트롤러에 대해 소개하고 이를 사용하여 Kubernetes 클러스터와 워크로드를 규정을 준수하는 안전한 방식으로 실행하는 방법을 설명합니다.

이 페이지는 회사 전략에 따라 IT 솔루션과 시스템 아키텍처를 정의하고 감사 또는 시행 자동화를 제공하고 유지하여 클라우드 플랫폼 내에서 실행되는 모든 리소스가 조직의 규정 준수 요구사항을 충족하도록 보장하는 IT 관리자, 운영자, 보안 전문가를 위해 작성되었습니다. Google Cloud 콘텐츠에서 참조하는 일반적인 역할과 예시 태스크에 대한 자세한 내용은 일반 GKE Enterprise 사용자 역할 및 태스크를 참조하세요.

정책 컨트롤러를 사용 설정하면 Kubernetes 클러스터에 프로그래밍 가능한 정책을 적용하고 시행할 수 있습니다. 정책은 가드레일 역할을 하며 클러스터와 Fleet의 권장사항, 보안, 규정 준수 관리에 도움이 됩니다. 오픈소스 Open Policy Agent Gatekeeper 프로젝트를 기반으로 하는 정책 컨트롤러는 Google Cloud와 완전히 통합되었으며, 관측 가능성을 위해 기본 제공되는 대시보드를 포함하며, 공통 보안 및 규정준수 제어를 위해 사전 빌드된 정책의 전체 라이브러리와 함께 제공됩니다.

정책 컨트롤러는 Google Kubernetes Engine(GKE) Enterprise 버전 라이선스에서 제공됩니다.

정책 컨트롤러 이점

  • Google Cloud에 통합: 플랫폼 관리자가 Fleet에 연결된 모든 클러스터에서 Google Cloud 콘솔, Terraform, Google Cloud CLI를 사용하여 정책 컨트롤러를 설치할 수 있습니다. 정책 컨트롤러는 구성 동기화, 측정항목, Cloud Monitoring와 같은 다른 Google Cloud 서비스와 함께 작동합니다.
  • 여러 시행 지점 지원: 클러스터에 대한 감사 및 허용 제어 외에도 정책 컨트롤러는 규정 준수하지 않는 변경사항을 분석 및 포착하기 위해 적용 이전에 선택적으로 원점 회귀 접근 방식을 사용 설정할 수 있습니다.
  • 사전 구축된 정책 번들: 정책 컨트롤러는 공통 보안 및 규정 준수 제어를 위해 사전 빌드된 정책의 전체 라이브러리와 함께 제공됩니다. 여기에는 Google에서 빌드 및 유지 관리되는 정책 번들제약조건 템플릿 라이브러리가 모두 포함됩니다.
  • 커스텀 정책 지원: 제약조건 템플릿 라이브러리를 사용하여 제공되는 것 이상으로 정책 맞춤설정이 필요한 경우 정책 컨트롤러는 또한 커스텀 제약조건 템플릿 개발을 지원합니다.
  • 기본 제공되는 관측 가능성: 정책 컨트롤러에는 Fleet에 적용된 모든 정책의 상태에 대한 개요를 제공하는 Google Cloud 콘솔 대시보드가 포함됩니다(미등록 클러스터 포함). 대시보드에서 문제 해결에 도움이 되는 규정 준수 및 시행 상태를 확인하고 정책 위반을 해결하기 위한 설득력 있는 권장사항을 얻을 수 있습니다.

정책 번들

정책 번들을 사용하여 특정 Kubernetes 표준, 보안, 규정 준수 테마로 그룹화된 많은 제약조건을 적용할 수 있습니다. 이러한 정책 번들은 Google에서 빌드되고 유지 관리되므로 코드를 작성할 필요 없이 바로 사용할 수 있습니다. 예를 들어 다음 정책 번들을 사용할 수 있습니다.

정책 컨트롤러 번들 개요에서 자세한 내용과 현재 사용 가능한 정책 번들 목록을 제공합니다.

제약조건

정책 컨트롤러는 제약조건이라고 하는 객체를 사용하여 클러스터 규정 준수를 시행합니다. 제약조건은 정책의 '구성요소'와 같습니다. 각 제약조건은 적용된 클러스터에서 허용 또는 금지되는 Kubernetes API에 대한 특정 변경사항을 정의합니다. 정책을 사용하여 규정을 준수하지 않는 API 요청을 적극적으로 차단하거나 클러스터 구성을 감사하고 위반사항을 신고할 수 있습니다. 어느 경우든지 클러스터에 발생한 위반에 대한 세부정보와 함께 경고 메시지를 확인할 수 있습니다. 이 정보를 사용해서 문제를 해결할 수 있습니다. 예를 들어 다음 개별 제약조건을 사용할 수 있습니다.

이는 정책 컨트롤러에 포함된 제약조건 템플릿 라이브러리에 제공되는 제약조건 중 일부에 불과합니다. 이 라이브러리에는 권장사항을 시행하고 위험을 제한하는 데 사용할 수 있는 많은 정책이 포함되어 있습니다. 제약조건 템플릿 라이브러리에서 제공하는 것 이상의 맞춤설정이 필요한 경우 커스텀 제약조건 템플릿을 만들 수도 있습니다.

Kubernetes API를 사용하여 제약조건을 직접 클러스터에 적용하거나 구성 동기화를 사용하여 Git 저장소와 같은 중앙 집중식 소스의 클러스터 집합에 배포할 수 있습니다.

다음 단계