Questa pagina spiega cos'è Policy Controller e come utilizzarlo per garantire i tuoi cluster e carichi di lavoro Kubernetes sono in esecuzione in un ambiente sicuro in modo adeguato.
Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Queste norme fungono da barriere e possono aiutarti con best practice, sicurezza e gestione della conformità dei tuoi cluster parco risorse. Basata sull'open source Apri Policy Agent Gatekeeper Policy Controller è completamente integrato con Google Cloud, include una dashboard integrata, per l'osservabilità e include una libreria completa di criteri predefiniti controlli di sicurezza e conformità più comuni.
Policy Controller è disponibile con una licenza per la versione Google Kubernetes Engine (GKE) Enterprise.
Vantaggi di Policy Controller
- Integrata con Google Cloud: gli amministratori della piattaforma possono installare Policy Controller mediante la console Google Cloud, utilizzando Terraform o Google Cloud CLI collegato al tuo parco risorse. Policy Controller funziona con altri servizi Google Cloud come Config Sync, metriche e Cloud Monitoring.
- Supporta più punti di applicazione: oltre ad audit e controllo di ammissione per il tuo cluster, Policy Controller può facoltativamente abilitare un Maiusc-sinistra di analizzare e rilevare le modifiche non conformi prima un'applicazione.
- Pacchetti di criteri predefiniti: Policy Controller include una libreria completa di criteri predefiniti per i controlli di sicurezza e conformità più comuni. Questi includi sia Policy bundle, che vengono creati gestita da Google e la libreria di modelli di vincolo.
- Supporta norme personalizzate: se è necessaria la personalizzazione dei criteri oltre a Che cosa è disponibile utilizzando la libreria dei modelli di vincolo, Policy Controller supporta inoltre lo sviluppo di modelli di vincoli personalizzati.
- Osservabilità integrata: Policy Controller include una console Google Cloud dashboard, fornendo una panoramica per lo stato di tutti i criteri applicati al tuo parco risorse (inclusi cluster non registrati). Nella dashboard puoi visualizzare conformità e applicazione delle norme per aiutarti a risolvere i problemi e ricevere opinioni consigli per risolvere le violazioni delle norme.
Pacchetti di criteri
Puoi usare i pacchetti di criteri per applicare una serie di vincoli raggruppati in un tema specifico di standard Kubernetes, sicurezza o conformità. Questi i pacchetti di criteri vengono creati e gestiti da Google, pertanto sono pronti per da utilizzare senza dover scrivere codice. Ad esempio, puoi utilizzare seguenti pacchetti di criteri:
- Applica molti degli stessi requisiti PodSecurityPolicies, ma con la possibilità di controllare la configurazione prima di applicarla, assicurando che le modifiche ai criteri non compromettano l'esecuzione dei carichi di lavoro.
- Utilizza vincoli compatibili con Cloud Service Mesh per per controllare la conformità delle vulnerabilità di sicurezza mesh pratiche.
- Applicare le best practice generali alle risorse del cluster per rafforzare la tua postura di sicurezza.
Panoramica dei pacchetti di Policy Controller fornisce ulteriori dettagli e un elenco dei pacchetti di criteri attualmente disponibili.
Vincoli
Policy Controller applica in modo forzato i cluster la conformità utilizzando gli oggetti chiamati vincoli. Puoi considerare i vincoli come dei "componenti di base" delle norme. Ogni vincolo definisce una modifica specifica consentita all'API Kubernetes per il cluster a cui viene applicata. Puoi impostare criteri su bloccare attivamente le richieste API non conformi o controllare la configurazione cluster e segnalare le violazioni. In entrambi i casi, puoi visualizzare i messaggi di avviso con i dettagli della violazione che si è verificata in un cluster. Con queste informazioni, possono risolvere i problemi. Ad esempio, puoi utilizzare le seguenti vincoli:
- Richiedi che ogni spazio dei nomi ne abbia almeno uno dell'etichetta. Questo vincolo può essere utilizzato per garantire il monitoraggio accurato delle risorse quando si utilizza la misurazione dell'utilizzo di GKE, ad esempio.
- Limita i repository da cui è possibile estrarre una determinata immagine container. Questo vincolo garantisce che qualsiasi tentativo di estrarre i container da origini sconosciute viene negata, proteggendo i cluster dall'esecuzione di software.
- Specifica se un container può essere eseguito in modalità con privilegi. Questo vincolo controlla la capacità di qualsiasi container di abilitare privilegi che ti permette di controllare quali container (se presenti) possono essere eseguiti senza restrizioni.
Questi sono solo alcuni dei vincoli forniti nel modello di vincolo libreria inclusa con Policy Controller. Questa libreria contiene numerosi criteri che puoi utilizzare per applicare le best practice e limitare i rischi. Se hai bisogno di una maggiore personalizzazione oltre a quanto disponibile nella libreria dei modelli di vincolo, puoi anche creare vincolo personalizzato modelli.
I vincoli possono essere applicati direttamente ai cluster utilizzando l'API Kubernetes, o distribuiti a un insieme di cluster da un'origine centralizzata, come un repository Git, utilizzando Config Sync.