Policy Controller 總覽

本頁說明 Policy Controller 的用途，以及如何使用這項工具，確保 Kubernetes 叢集和工作負載是以安全且符合規範的方式執行。

本頁內容適用於 IT 管理員、營運人員和安全專家。這些人員會根據公司策略定義 IT 解決方案和系統架構，並提供及維護自動化功能，確保雲端平台中執行的所有資源都符合機構的法規遵循規定，以利稽核或強制執行。如要進一步瞭解我們在內容中提及的常見角色和範例工作，請參閱「常見的 GKE 使用者角色和工作」。 Google Cloud

您可以透過 Policy Controller，對 Kubernetes 叢集套用並強制執行可設定的政策。這些政策可以做為防護機制，協助您管理叢集和機群的最佳做法、安全性與法規遵循事宜。Policy Controller 以開放原始碼的 Open Policy Agent Gatekeeper 專案為基礎，並與 Google Cloud完全整合，內建可觀察性資訊主頁，且隨附完整的預建政策庫，適用於管控一般的安全防護措施與法規遵循情形。

您必須擁有 Google Kubernetes Engine (GKE) Enterprise 版授權，才能使用 Policy Controller。

Policy Controller 的優點

• 與 Google Cloud 整合：平台管理員可以使用 Google Cloud 控制台、Terraform 或 Google Cloud CLI，在連線至機群的任何叢集上安裝 Policy Controller。Policy Controller 可與其他服務搭配使用，例如 Config Sync、指標和 Cloud Monitoring。Google Cloud
• 支援多個強制執行點：除了叢集的稽核和准入控制之外，Policy Controller 還可選擇啟用左移方法，在套用變更前分析並找出不符合法規的變更。
• 預建政策套裝組合：Policy Controller 隨附完整的預建政策庫，適合用來管控一般的安全防護措施與法規遵循情形。包括政策套裝組合和限制範本程式庫。
• 支援自訂政策：如果需要超出限制範本庫提供的政策自訂功能，Policy Controller 也支援開發自訂限制範本。
• 內建可觀測性：Policy Controller 包含 Google Cloud 控制台資訊主頁，可概略顯示套用至機群的所有政策狀態 (包括未註冊的叢集)。資訊主頁會顯示法規遵循與強制執行狀態，方便您解決問題，並取得明確的違規解決建議。

政策套裝組合

您可以透過政策套裝組合，套用特定 Kubernetes 標準、安全性或法規遵循主題下的一組限制。舉例來說，您可以使用下列政策組合：

• 強制執行與 PodSecurityPolicies 相同的多項規定，但可先稽核設定再強制執行，確保政策變更不會中斷執行中的工作負載。
• 使用與 Cloud Service Mesh 相容的限制，稽核網格安全漏洞機制與最佳做法是否符合法規。
• 對叢集資源套用一般最佳做法，有助於強化安全防護機制。

如需更多詳細資料和目前可用的政策套裝組合清單，請參閱「Policy Controller 套裝組合總覽 」。

限制

Policy Controller 會使用名為「限制」的物件，強制讓叢集符合您的政策。您可以將限制視為政策的「建構區塊」。每項限制都會定義 Kubernetes API 的特定變更，允許或禁止在套用限制的叢集上進行。您可以設定政策，主動封鎖不符規定的 API 要求，或稽核叢集的設定並回報違規事項。無論是哪種情況，您都可以查看警告訊息，瞭解叢集發生哪些違規行為。您可以根據這些資訊修正問題。舉例來說，您可以使用下列個別限制：

• 每個命名空間都必須至少有一個標籤。 舉例來說，使用 GKE 用量計算功能時，可透過這項限制確保資源用量追蹤準確無誤。
• 限制可從中提取特定容器映像檔的存放區。 這項限制可確保系統拒絕從不明來源提取容器的任何嘗試，保護叢集免於執行可能有害的軟體。
• 控制容器是否可在特權模式下執行。 這項限制會控管任何容器啟用特殊權限模式的能力，讓您控管哪些容器 (如有) 可以不受限制的政策執行。

這些只是 Policy Controller 隨附的限制範本程式庫提供的部分限制。這個範本庫提供許多政策，可協助您強制執行最佳做法並降低風險。如果需要更多自訂項目，除了使用限制範本程式庫提供的項目，您也可以建立自訂限制範本。

您可以使用 Kubernetes API，直接將限制套用至叢集，也可以使用 Config Sync，從集中式來源 (例如 Git 存放區) 將限制發布至一組叢集。

後續步驟

• 安裝 Policy Controller。
• 瞭解政策組合。
• 套用政策組合