Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page explique ce qu'est Policy Controller et comment l'utiliser pour vous assurer que vos clusters et charges de travail Kubernetes s'exécutent de manière sécurisée et conforme.
Cette page s'adresse aux administrateurs informatiques, aux opérateurs et aux spécialistes de la sécurité qui définissent les solutions informatiques et l'architecture du système conformément à la stratégie de l'entreprise, et qui s'assurent que toutes les ressources exécutées sur la plate-forme cloud répondent aux exigences de conformité organisationnelle en fournissant et en maintenant l'automatisation des audits ou des applications. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud , consultez Rôles utilisateur et tâches courantes de GKE.
Policy Controller permet d'appliquer des règles programmables à vos clusters Kubernetes. Ces règles servent de garde-fous et peuvent vous aider à appliquer les bonnes pratiques, ainsi qu'à gérer la sécurité et la conformité de vos clusters et de votre parc. Basé sur le projet Open Source Open Policy Agent Gatekeeper, Policy Controller est entièrement intégré à Google Cloudet inclut un tableau de bord intégré pour une meilleure observabilité, en plus d'être fourni avec une bibliothèque complète de règles prédéfinies pour les contrôles de sécurité et de conformité courants.
Policy Controller est disponible avec une licence Google Kubernetes Engine (GKE) Enterprise.
Avantages de Policy Controller
Intégré à Google Cloud : les administrateurs de plate-forme peuvent installer Policy Controller à l'aide de la console Google Cloud , de Terraform ou de Google Cloud CLI, sur n'importe quel cluster connecté à votre parc. Policy Controller fonctionne avec d'autres servicesGoogle Cloud tels que Config Sync, les métriques et Cloud Monitoring.
Groupes de règles prédéfinies : Policy Controller est fourni avec une bibliothèque complète de règles prédéfinies pour les contrôles de sécurité et de conformité courants. Ils incluent à la fois des groupes de règles et la bibliothèque de modèles de contrainte.
Compatibilité avec les règles personnalisées : si la personnalisation des règles est requise au-delà de ce qui est possible avec la bibliothèque de modèles de contrainte, Policy Controller est également compatible avec le développement de modèles de contrainte
Observabilité intégrée : Policy Controller comprend un tableau de bord de la console Google Cloud qui offre un aperçu de l'état de toutes les règles appliquées à votre parc (y compris les clusters non enregistrés). Consultez le tableau de bord pour connaître l'état de conformité et d'application afin de dépanner plus facilement votre solution, et obtenez des recommandations avisées pour résoudre les cas de non-respect des règles.
Groupes de règles
Vous pouvez utiliser des groupes de règles pour appliquer un certain nombre de contraintes regroupées sous un thème de norme, de sécurité ou de conformité Kubernetes spécifique.
Par exemple, vous pouvez utiliser les groupes de règles suivants :
Elle applique la plupart des exigences de PodSecurityPolicies, mais avec en plus la possibilité d'auditer votre configuration avant de l'appliquer, assurant ainsi que les modifications de stratégie ne perturbent pas l'exécution des charges de travail.
Policy Controller assure la conformité de votre cluster à l'aide d'objets appelés contraintes. Vous pouvez considérer les contraintes comme les "composants de base" d'une règle.
Chaque contrainte définit une modification spécifique de l'API Kubernetes, qui est autorisée ou non autorisée sur le cluster auquel elle s'applique. Vous pouvez définir des règles pour bloquer activement les requêtes API non conformes ou pour auditer la configuration de vos clusters et signaler des violations. Dans les deux cas, vous pouvez afficher des messages d'avertissement contenant des détails sur la violation qui s'est produite sur un cluster. Grâce à ces informations, vous pouvez résoudre les problèmes. Par exemple, vous pouvez utiliser les contraintes individuelles suivantes :
Contrôler si un conteneur peut s'exécuter en mode privilégié.
Cette contrainte contrôle la capacité de n'importe quel conteneur à activer le mode privilégié, qui vous permet de contrôler les conteneurs (le cas échéant) pouvant s'exécuter avec une règle sans restriction.
Voici quelques-unes des contraintes fournies dans la bibliothèque de modèles de contraintes incluse dans Policy Controller. Cette bibliothèque contient de nombreuses règles que vous pouvez utiliser pour appliquer les bonnes pratiques et limiter les risques. Si vous avez besoin d'un niveau de personnalisation supérieur à celui disponible dans la bibliothèque de modèles de contraintes, vous pouvez également créer des modèles de contraintes personnalisés.
Les contraintes peuvent être appliquées directement aux clusters à l'aide de l'API Kubernetes, ou distribuées à un ensemble de clusters à partir d'une source centralisée, telle qu'un dépôt Git, en utilisant Config Sync.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/07/31 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/07/31 (UTC)."],[],[],null,["This page explains what Policy Controller is and how you can use it to help ensure\nyour Kubernetes clusters and workloads are running in a secure and compliant\nmanner.\n\nThis page is for IT administrators, Operators, and\nSecurity specialists who define IT solutions and system architecture\nin accordance with company strategy, and ensure that all resources running\nwithin the cloud platform meet organizational compliance requirements by\nproviding and maintaining automation to audit or enforce. To learn more about\ncommon roles and example tasks that we reference in Google Cloud content, see\n[Common GKE user roles and tasks](/kubernetes-engine/enterprise/docs/concepts/roles-tasks).\n\nPolicy Controller enables the application and enforcement of programmable policies\nfor your Kubernetes clusters. These policies act as **guardrails** and can help\nwith best practices, security, and compliance management of your clusters and\nfleet. Based on the open source\n[Open Policy Agent Gatekeeper](https://open-policy-agent.github.io/gatekeeper/website/docs/)\nproject, Policy Controller is fully integrated with Google Cloud,\nincludes a built-in dashboard,\nfor observability, and comes with a full library of prebuilt policies for\ncommon security and compliance controls.\n\nPolicy Controller benefits\n\n- **Integrated with Google Cloud** : Platform admins can [install\n Policy Controller](/kubernetes-engine/enterprise/policy-controller/docs/how-to/installing-policy-controller) by using the Google Cloud console, by using Terraform, or by using Google Cloud CLI on any cluster connected to your fleet. Policy Controller works with other Google Cloud services like [Config Sync](/kubernetes-engine/enterprise/config-sync/docs/overview), [metrics](/kubernetes-engine/enterprise/policy-controller/docs/how-to/policy-controller-metrics), and Cloud Monitoring.\n- **Supports multiple enforcement points** : In addition to both audit and admission control for your cluster, Policy Controller can optionally enable a [shift-left\n approach](/architecture/devops/devops-tech-shifting-left-on-security) to [analyse and catch non-compliant changes](/kubernetes-engine/enterprise/policy-controller/docs/tutorials/app-policy-validation-ci-pipeline) prior to application.\n- **Prebuilt policy bundles** : Policy Controller comes with a full library of prebuilt policies for common security and compliance controls. These include both [Policy\n bundles](/kubernetes-engine/enterprise/policy-controller/docs/concepts/policy-controller-bundles) and the [constraint template library](/kubernetes-engine/enterprise/policy-controller/docs/latest/reference/constraint-template-library).\n- **Supports custom policies** : If policy customization is required beyond what is available using the [constraint template library](/kubernetes-engine/enterprise/policy-controller/docs/latest/reference/constraint-template-library), Policy Controller additionally supports the development of custom [*constraint templates*](/kubernetes-engine/enterprise/policy-controller/docs/how-to/write-custom-constraint-templates).\n- **Built-in observability** : Policy Controller includes a Google Cloud console [dashboard](/kubernetes-engine/enterprise/policy-controller/docs/how-to/policy-controller-status), providing an overview for the state of all the policies applied to your fleet (including unregistered clusters). From the dashboard, view compliance and enforcement status to help you troubleshoot, and get opinionated recommendations to resolve policy violations.\n\nPolicy bundles\n\nYou can use policy bundles to apply a number of constraints that are grouped\nunder a specific Kubernetes standard, security, or compliance theme.\nFor example, you can use the following policy bundles:\n\n- [Enforce many of the same requirements as\n PodSecurityPolicies](/kubernetes-engine/enterprise/policy-controller/docs/how-to/using-constraints-to-enforce-pod-security), but with the added ability to audit your configuration before enforcing it, ensuring any policy changes aren't disruptive to running workloads.\n- [Use constraints compatible with\n Cloud Service Mesh](/kubernetes-engine/enterprise/policy-controller/docs/how-to/using-asm-security-policy) to audit the compliance of your mesh security vulnerabilities and best practices.\n- [Apply general best practices to your cluster resources](/kubernetes-engine/enterprise/policy-controller/docs/how-to/using-policy-essentials-v2022) to help strengthen your security posture.\n\n[Policy Controller bundles overview](/kubernetes-engine/enterprise/policy-controller/docs/concepts/policy-controller-bundles)\nprovides more details and a list of currently available policy bundles.\n\nConstraints\n\nPolicy Controller enforces your clusters' compliance using objects called\n*constraints* . You can think of constraints as the \"building blocks\" of policy.\nEach constraint defines a specific change to the Kubernetes API that is allowed\nor disallowed on the cluster it's applied to. You can set policies to either\nactively block non-compliant API requests or\n[audit](/kubernetes-engine/enterprise/policy-controller/docs/how-to/auditing-constraints) the configuration of your\nclusters and report violations. In either case, you can view warning messages\nwith details on what violation occurred on a cluster. With that information, you\ncan remediate problems. For example, you can use the following individual\nconstraints:\n\n- [Require each namespace to have at least one\n label](/kubernetes-engine/enterprise/policy-controller/docs/latest/reference/constraint-template-library#k8srequiredlabels). This constraint can be used to ensure accurate tracking of resource consumption when using GKE Usage Metering, for example.\n- [Restrict the repositories a given container image can be pulled from](/kubernetes-engine/enterprise/policy-controller/docs/latest/reference/constraint-template-library#k8sallowedrepos). This constraint ensures any attempt to pull containers from unknown sources is denied, protecting your clusters from running potentially malicious software.\n- [Control whether or not a container can run in privileged mode](/kubernetes-engine/enterprise/policy-controller/docs/latest/reference/constraint-template-library#k8spspprivilegedcontainer). This constraint controls the ability of any container to enable privileged mode, which gives you control over which containers (if any) can run with unrestricted policy.\n\nThese are just a few of the constraints provided in the [constraint template\nlibrary](/kubernetes-engine/enterprise/policy-controller/docs/latest/reference/constraint-template-library) included\nwith Policy Controller. This library contains numerous policies that you can use\nto help enforce best practices and limit risk. If you require more customization\nbeyond what is available in the constraint template library, you can also create\ncustom [constraint\ntemplates](/kubernetes-engine/enterprise/policy-controller/docs/how-to/write-custom-constraint-templates).\n\nConstraints can be applied directly to your clusters using the Kubernetes API,\nor distributed to a set of clusters from a centralized source, like a Git repository, by using [Config Sync](/kubernetes-engine/enterprise/config-sync/docs/config-sync-overview).\n\nWhat's next\n\n- [Install Policy Controller](/kubernetes-engine/enterprise/policy-controller/docs/how-to/installing-policy-controller).\n- [Learn about policy bundles](/kubernetes-engine/enterprise/policy-controller/docs/concepts/policy-controller-bundles).\n- [Apply policy bundles](/kubernetes-engine/enterprise/policy-controller/docs/how-to/apply-policy-bundles)"]]
