Cloud Service Mesh セキュリティ ポリシーの制約

このガイドでは、TRAFFIC_DIRECTOR コントロール プレーンの実装をサポートしていません。

Istio API を使用する Cloud Service Mesh には、メッシュの構成に使用できる強力で柔軟な API が用意されています。ただし、リソースを適切に管理できなければ、メッシュにセキュリティの脆弱性が生じる危険性があります。Policy Controller を Cloud Service Mesh セキュリティ ポリシーの制約に統合することによって、セキュリティに関するベスト プラクティスをメッシュに適用し、脆弱性を防ぐことができます。

このページは、ポリシーの制約に精通していることを前提としています。

制約テンプレート

Policy Controller のインストール時に、[デフォルトのテンプレート ライブラリをインストールする] を選択します。このオプションを選択すると、メッシュに必要な Cloud Service Mesh セキュリティ ポリシーの制約テンプレートがすべてデプロイされます。Cloud Service Mesh のセキュリティの制約テンプレートの一覧については、制約テンプレート ライブラリAsm から始まるテンプレートを検索してください。

制約バンドル

Cloud Service Mesh セキュリティ ポリシー用のすぐに使用可能な制約バンドルが用意されています。このバンドルの詳細と手順については、Cloud Service Mesh セキュリティ ポリシーを使用するをご覧ください。

このバンドルを適用する方法を示すチュートリアルについては、Cloud Service Mesh、Config Sync、Policy Controller を使用してアプリのセキュリティを強化するをご覧ください。

アドオンの制約

一部の制約テンプレートは、デフォルトのテンプレート ライブラリにインストールされますが、これらはセキュリティ ポリシー バンドルには含まれていません。以下の制約テンプレートは具体的なユースケースに対応しています。また、独自の制約を構成することもできます。