Cloud Service Mesh セキュリティ ポリシーの制約
このガイドでは、TRAFFIC_DIRECTOR
コントロール プレーンの実装をサポートしていません。
Istio API を使用する Cloud Service Mesh には、メッシュの構成に使用できる強力で柔軟な API が用意されています。ただし、リソースを適切に管理できなければ、メッシュにセキュリティの脆弱性が生じる危険性があります。Policy Controller を Cloud Service Mesh セキュリティ ポリシーの制約に統合することによって、セキュリティに関するベスト プラクティスをメッシュに適用し、脆弱性の発生を防止できます。
このページは、ポリシーの制約に精通していることを前提としています。
制約テンプレート
Policy Controller のインストール時に、[デフォルトのテンプレート ライブラリをインストールする] を選択します。このオプションを選択すると、メッシュに必要な Cloud Service Mesh セキュリティ ポリシーの制約テンプレートがすべてデプロイされます。Cloud Service Mesh のセキュリティ制約テンプレートの全一覧については、制約テンプレート ライブラリで先頭に Asm
が付加されたテンプレートをご覧ください。
制約バンドル
Cloud Service Mesh セキュリティ ポリシー用として、あらかじめ設定済みの制約バンドルが用意されています。このバンドルの詳細と手順については、Cloud Service Mesh セキュリティ ポリシーの使用をご覧ください。
このバンドルを適用する方法を示すチュートリアルについては、Cloud Service Mesh、Config Sync、Policy Controller を使用してアプリのセキュリティを強化するをご覧ください。
アドオンの制約
一部の制約テンプレートは、デフォルトのテンプレート ライブラリにインストールされますが、これらはセキュリティ ポリシー バンドルには含まれていません。以下の制約テンプレートは具体的なユースケースに対応しています。また、独自の制約を構成することもできます。