Questo tutorial mostra come gli amministratori di piattaforma possono utilizzare Policy Controller criteri per la creazione di risorse Google Cloud mediante Config Connector.
Questa pagina è rivolta agli amministratori IT e agli operatori che vogliono assicurarsi che tutte le risorse in esecuzione sulla piattaforma cloud soddisfino i requisiti di conformità fornendo e mantenendo l'automazione per le attività di applicazioni e che gestiscono il ciclo di vita dell'infrastruttura tecnica sottostante. A scopri di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento per i contenuti di Google Cloud, consulta Ruoli e attività utente comuni di GKE Enterprise.
Le istruzioni di questo tutorial presuppongono che tu abbia una conoscenza di base Kubernetes o Google Kubernetes Engine (GKE) Nel tutorial, definirai un criterio che limita le località consentite per Cloud Storage bucket.
Policy Controller controlla, verifica e applica la conformità dei tuoi carichi di lavoro Kubernetes Raggruppare le risorse con criteri relativi a sicurezza, normative o business le regole del caso. Policy Controller viene creato Progetto open source OPA Gatekeeper.
Config Connector crea e gestisce il ciclo di vita Risorse Google Cloud, descrivendoli come Risorse personalizzate di Kubernetes. Per creare una risorsa Google Cloud, devi creare una risorsa Kubernetes in un gestito da Config Connector. L'esempio seguente mostra come descrivere in un bucket Cloud Storage utilizzando Config Connector:
apiVersion: storage.cnrm.cloud.google.com/v1beta1 kind: StorageBucket metadata: name: my-bucket spec: location: us-east1
Gestendo le tue risorse Google Cloud con Config Connector, puoi e applicare i criteri di Policy Controller a queste risorse quando crei nel cluster della versione Google Kubernetes Engine (GKE) Enterprise. Questi criteri ti consentono di impedire o segnalare azioni che creano o modificano le risorse in modi che violano le tue criteri. Ad esempio, puoi applicare in modo forzato un criterio che limita le località di di archiviazione dei bucket Cloud Storage.
Questo approccio, basato Modello di risorse di Kubernetes (KRM), consente di utilizzare un set coerente di strumenti e flussi di lavoro per gestire di Kubernetes e Google Cloud. Questo tutorial mostra come può completare le seguenti attività:
- Definisci i criteri che regolano le tue risorse Google Cloud.
- Implementa controlli che impediscono a sviluppatori e amministratori di creando risorse Google Cloud che violano i tuoi criteri.
- Implementare controlli che controllano le tue risorse Google Cloud esistenti dei tuoi criteri, anche se hai creato le risorse all'esterno Config Connector.
- Fornire rapidamente feedback a sviluppatori e amministratori durante la creazione e aggiornare le definizioni delle risorse.
- Convalida le definizioni delle risorse Google Cloud in base ai tuoi criteri prima di tentare di applicare le definizioni a un cluster Kubernetes.
Obiettivi
- Crea un cluster della versione Google Kubernetes Engine (GKE) Enterprise che includa Config Connector come componente aggiuntivo.
- Installa Policy Controller.
- Crea un criterio per limitare il bucket Cloud Storage consentito luoghi.
- Verifica che il criterio impedisca la creazione di Cloud Storage in località non consentite.
- Valuta la conformità ai criteri della definizione del bucket Cloud Storage durante sviluppo del prodotto.
- Controlla i bucket Cloud Storage esistenti per verificare la conformità ai criteri.
Costi
In questo documento vengono utilizzati i seguenti componenti fatturabili di Google Cloud:
Per generare una stima dei costi basata sull'utilizzo previsto,
utilizza il Calcolatore prezzi.
Prima di iniziare
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
In the Google Cloud console, activate Cloud Shell.
In Cloud Shell, imposta il progetto Google Cloud da utilizzare tutorial:
gcloud config set project PROJECT_ID
Sostituisci
PROJECT_ID
con ID progetto Google Cloud del tuo progetto. Quando esegui questo comando, Cloud Shell crea una variabile di ambiente esportata denominataGOOGLE_CLOUD_PROJECT
che contiene il tuo ID progetto. Se non utilizzi Cloud Shell, puoi creare di variabile di ambiente con questo comando:export GOOGLE_CLOUD_PROJECT=$(gcloud config get-value core/project)
Abilita l'API GKE:
gcloud services enable container.googleapis.com
Abilita l'API Policy Controller:
gcloud services enable anthospolicycontroller.googleapis.com
Crea una directory in cui archiviare i file creati per questo tutorial:
mkdir -p ~/cnrm-gatekeeper-tutorial
Vai alla directory che hai creato:
cd ~/cnrm-gatekeeper-tutorial
Crea un cluster GKE
In Cloud Shell, crea un cluster GKE il componente aggiuntivo Config Connector e Federazione delle identità dei carichi di lavoro per GKE:
gcloud container clusters create CLUSTER_NAME \ --addons ConfigConnector \ --enable-ip-alias \ --num-nodes 4 \ --release-channel regular \ --scopes cloud-platform \ --workload-pool $GOOGLE_CLOUD_PROJECT.svc.id.goog \ --zone ZONE
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del cluster che vuoi per questo progetto, ad esempiocnrm-gatekeeper-tutorial
.ZONE
: A Zona di Compute Engine vicino alla tua posizione, ad esempioasia-southeast1-b
.
Il componente aggiuntivo Config Connector installa definizioni di risorse personalizzate (CRD) della Risorse Google Cloud nel tuo cluster GKE.
(Facoltativo) Se utilizzi una cluster privato nel tuo ambiente, aggiungi una regola firewall che consenta al cluster GKE dal piano di controllo per la connessione al webhook di Policy Controller:
gcloud compute firewall-rules create allow-cluster-control-plane-tcp-8443 \ --allow tcp:8443 \ --network default \ --source-ranges CONTROL_PLANE_CIDR \ --target-tags NODE_TAG
Sostituisci quanto segue:
CONTROL_PLANE_CIDR
: l'intervallo IP per il tuo Piano di controllo del cluster GKE, ad esempio172.16.0.16/28
.NODE_TAG
: un tag applicato a tutti i nodi in cluster GKE.
Questa regola firewall facoltativa è obbligatoria per consentire al webhook di Policy Controller funzionano quando il cluster usa nodi privati.
Configura Config Connector
Il progetto Google Cloud in cui installi Config Connector è noto come progetto host. I progetti in cui è noto che usa Config Connector per gestire le risorse come progetti gestiti. In questo tutorial utilizzerai Config Connector per creare risorse Google Cloud nello stesso progetto cluster GKE, in modo che il progetto host e l'infrastruttura sono lo stesso progetto.
In Cloud Shell, crea un'istanza Account di servizio Google Per Config Connector:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \ --display-name "Config Connector Gatekeeper tutorial"
Sostituisci
SERVICE_ACCOUNT_NAME
con il nome che vuoi utilizzare per questo account di servizio, ad esempiocnrm-gatekeeper-tutorial
. Config Connector utilizza questo account di servizio Google per creare risorse in progetto gestito.Concedi Ruolo Storage Admin all'account di servizio Google:
gcloud projects add-iam-policy-binding $GOOGLE_CLOUD_PROJECT \ --member "serviceAccount:SERVICE_ACCOUNT_NAME@$GOOGLE_CLOUD_PROJECT.iam.gserviceaccount.com" \ --role roles/storage.admin
In questo tutorial, utilizzerai il ruolo Amministratore Storage perché utilizzi Config Connector per creare bucket Cloud Storage. Nel tuo ambiente, concedi necessari per gestire le risorse Google Cloud che vuoi creare per Config Connector. Per ulteriori informazioni ruoli predefiniti, consulta la sezione Informazioni sui ruoli nella documentazione di IAM.
Crea uno spazio dei nomi Kubernetes per le risorse Config Connector che crea in questo tutorial:
kubectl create namespace NAMESPACE
Sostituisci NAMESPACE con lo spazio dei nomi Kubernetes vuoi usare nel tutorial, ad esempio
tutorial
.Annota lo spazio dei nomi per specificare quale progetto Config Connector deve per creare risorse Google Cloud (il progetto gestito):
kubectl annotate namespace NAMESPACE \ cnrm.cloud.google.com/project-id=$GOOGLE_CLOUD_PROJECT
Crea una risorsa
ConfigConnectorContext
che abilita Config Connector per Kubernetes e lo associa all'account di servizio Google che creato:cat << EOF | kubectl apply -f - apiVersion: core.cnrm.cloud.google.com/v1beta1 kind: ConfigConnectorContext metadata: name: configconnectorcontext.core.cnrm.cloud.google.com namespace: NAMESPACE spec: googleServiceAccount: SERVICE_ACCOUNT_NAME@$GOOGLE_CLOUD_PROJECT.iam.gserviceaccount.com EOF
Quando crei la risorsa
ConfigConnectorContext
, Config Connector crea un Account di servizio Kubernetes e StatefulSet nello spazio dei nomicnrm-system
per gestire le risorse Config Connector lo spazio dei nomi.Attendi che il pod del controller Config Connector per il tuo spazio dei nomi:
kubectl wait --namespace cnrm-system --for=condition=Ready pod \ -l cnrm.cloud.google.com/component=cnrm-controller-manager,cnrm.cloud.google.com/scoped-namespace=NAMESPACE
Quando il pod è pronto, viene visualizzato il prompt di Cloud Shell. Se ricevi il messaggio
error: no matching resources found
, attendi un minuto e riprova.Associa l'account di servizio Kubernetes di Config Connector al tuo account creando un'associazione di criteri IAM:
gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@$GOOGLE_CLOUD_PROJECT.iam.gserviceaccount.com \ --member "serviceAccount:$GOOGLE_CLOUD_PROJECT.svc.id.goog[cnrm-system/cnrm-controller-manager-NAMESPACE]" \ --role roles/iam.workloadIdentityUser
Questa associazione consente a Kubernetes
cnrm-controller-manager-NAMESPACE
l'account di servizio nello spazio dei nomicnrm-system
affinché agisca come servizio Google che hai creato.
Installa Policy Controller
Installa Policy Controller seguendo le istruzioni istruzioni di installazione.
Utilizza un intervallo di controllo di 60
secondi.
Creare una risorsa Google Cloud utilizzando Config Connector
In Cloud Shell, crea un manifest di Config Connector che rappresenti un Bucket Cloud Storage nella regione
us-central1
:cat << EOF > tutorial-storagebucket-us-central1.yaml apiVersion: storage.cnrm.cloud.google.com/v1beta1 kind: StorageBucket metadata: name: tutorial-us-central1-$GOOGLE_CLOUD_PROJECT namespace: NAMESPACE spec: location: us-central1 uniformBucketLevelAccess: true EOF
Per creare il bucket Cloud Storage, applica il manifest:
kubectl apply -f tutorial-storagebucket-us-central1.yaml
Verifica che Config Connector abbia creato il bucket Cloud Storage:
gcloud storage ls | grep tutorial
L'output è simile al seguente:
gs://tutorial-us-central1-PROJECT_ID/
Questo output include
PROJECT_ID
, che è l'ID progetto Google Cloud.Se non vedi questo output, attendi un minuto ed esegui di nuovo il passaggio.
Crea un criterio
Un criterio in Policy Controller è costituito da un modello di vincolo e un vincolo. Il modello di vincolo contiene la logica del criterio. Il vincolo specifica dove si applica il criterio e i parametri di input alla logica del criterio.
In Cloud Shell, crea un modello di vincolo che limiti Località dei bucket Cloud Storage:
cat << EOF > tutorial-storagebucket-location-template.yaml apiVersion: templates.gatekeeper.sh/v1beta1 kind: ConstraintTemplate metadata: name: gcpstoragelocationconstraintv1 spec: crd: spec: names: kind: GCPStorageLocationConstraintV1 validation: openAPIV3Schema: properties: locations: type: array items: type: string exemptions: type: array items: type: string targets: - target: admission.k8s.gatekeeper.sh rego: | package gcpstoragelocationconstraintv1 allowedLocation(reviewLocation) { locations := input.parameters.locations satisfied := [ good | location = locations[_] good = lower(location) == lower(reviewLocation)] any(satisfied) } exempt(reviewName) { input.parameters.exemptions[_] == reviewName } violation[{"msg": msg}] { bucketName := input.review.object.metadata.name bucketLocation := input.review.object.spec.location not allowedLocation(bucketLocation) not exempt(bucketName) msg := sprintf("Cloud Storage bucket <%v> uses a disallowed location <%v>, allowed locations are %v", [bucketName, bucketLocation, input.parameters.locations]) } violation[{"msg": msg}] { not input.parameters.locations bucketName := input.review.object.metadata.name msg := sprintf("No permitted locations provided in constraint for Cloud Storage bucket <%v>", [bucketName]) } EOF
Applica il modello per creare il bucket Cloud Storage:
kubectl apply -f tutorial-storagebucket-location-template.yaml
Crea un vincolo che consenta i bucket solo a Singapore e Regioni di Giacarta (
asia-southeast1
easia-southeast2
). Il vincolo si applica allo spazio dei nomi creato in precedenza. Esclude il valore predefinito in bucket Cloud Storage Cloud Build.cat << EOF > tutorial-storagebucket-location-constraint.yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: GCPStorageLocationConstraintV1 metadata: name: singapore-and-jakarta-only spec: enforcementAction: deny match: kinds: - apiGroups: - storage.cnrm.cloud.google.com kinds: - StorageBucket namespaces: - NAMESPACE parameters: locations: - asia-southeast1 - asia-southeast2 exemptions: - ${GOOGLE_CLOUD_PROJECT}_cloudbuild EOF
Per limitare le zone in cui possono esistere i bucket, applica il vincolo:
kubectl apply -f tutorial-storagebucket-location-constraint.yaml
Verifica il criterio
Crea un manifest che rappresenti Bucket Cloud Storage in una località non consentita (
us-west1
):cat << EOF > tutorial-storagebucket-us-west1.yaml apiVersion: storage.cnrm.cloud.google.com/v1beta1 kind: StorageBucket metadata: name: tutorial-us-west1-$GOOGLE_CLOUD_PROJECT namespace: NAMESPACE spec: location: us-west1 uniformBucketLevelAccess: true EOF
Per creare il bucket Cloud Storage, applica il manifest:
kubectl apply -f tutorial-storagebucket-us-west1.yaml
L'output è simile al seguente:
Error from server ([singapore-and-jakarta-only] Cloud Storage bucket <tutorial-us-west1-PROJECT_ID> uses a disallowed location <us-west1>, allowed locations are ["asia-southeast1", "asia-southeast2"]): error when creating "tutorial-storagebucket-us-west1.yaml": admission webhook "validation.gatekeeper.sh" denied the request: [singapore-and-jakarta-only] Cloud Storage bucket <tutorial-us-west1-PROJECT_ID> uses a disallowed location <us-west1>, allowed locations are ["asia-southeast1", "asia-southeast2"]
(Facoltativo) Puoi visualizzare un record della decisione di rifiutare la richiesta in Cloud Audit Logs. Esegui una query sui log delle attività di amministrazione per il tuo progetto:
gcloud logging read --limit=1 \ "logName=\"projects/$GOOGLE_CLOUD_PROJECT/logs/cloudaudit.googleapis.com%2Factivity\""' resource.type="k8s_cluster" resource.labels.cluster_name="CLUSTER_NAME" resource.labels.location="ZONE" protoPayload.authenticationInfo.principalEmail!~"system:serviceaccount:cnrm-system:.*" protoPayload.methodName:"com.google.cloud.cnrm." protoPayload.status.code=7'
L'output è simile al seguente:
insertId: 3c6940bb-de14-4d18-ac4d-9a6becc70828 labels: authorization.k8s.io/decision: allow authorization.k8s.io/reason: '' mutation.webhook.admission.k8s.io/round_0_index_0: '{"configuration":"mutating-webhook.cnrm.cloud.google.com","webhook":"container-annotation-handler.cnrm.cloud.google.com","mutated":true}' mutation.webhook.admission.k8s.io/round_0_index_1: '{"configuration":"mutating-webhook.cnrm.cloud.google.com","webhook":"management-conflict-annotation-defaulter.cnrm.cloud.google.com","mutated":true}' logName: projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity operation: first: true id: 3c6940bb-de14-4d18-ac4d-9a6becc70828 last: true producer: k8s.io protoPayload: '@type': type.googleapis.com/google.cloud.audit.AuditLog authenticationInfo: principalEmail: user@example.com authorizationInfo: - permission: com.google.cloud.cnrm.storage.v1beta1.storagebuckets.create resource: storage.cnrm.cloud.google.com/v1beta1/namespaces/NAMESPACE/storagebuckets/tutorial-us-west1-PROJECT_ID methodName: com.google.cloud.cnrm.storage.v1beta1.storagebuckets.create requestMetadata: callerIp: 203.0.113.1 callerSuppliedUserAgent: kubectl/v1.21.1 (linux/amd64) kubernetes/5e58841 resourceName: storage.cnrm.cloud.google.com/v1beta1/namespaces/NAMESPACE/storagebuckets/tutorial-us-west1-PROJECT_ID serviceName: k8s.io status: code: 7 message: Forbidden receiveTimestamp: '2021-05-21T06:56:24.940264678Z' resource: labels: cluster_name: CLUSTER_NAME location: CLUSTER_ZONE project_id: PROJECT_ID type: k8s_cluster timestamp: '2021-05-21T06:56:09.060635Z'
Il campo
methodName
mostra l'operazione che hai tentato di eseguire, ovveroresourceName
mostra il nome completo della risorsa Config Connector estatus
mostra che la richiesta non è andata a buon fine, con codice di errore7
e messaggio aForbidden
.crea un manifest che rappresenti un bucket Cloud Storage in un località consentita (
asia-southeast1
):cat << EOF > tutorial-storagebucket-asia-southeast1.yaml apiVersion: storage.cnrm.cloud.google.com/v1beta1 kind: StorageBucket metadata: name: tutorial-asia-southeast1-$GOOGLE_CLOUD_PROJECT namespace: NAMESPACE spec: location: asia-southeast1 uniformBucketLevelAccess: true EOF
Per creare il bucket Cloud Storage, applica il manifest:
kubectl apply -f tutorial-storagebucket-asia-southeast1.yaml
L'output è simile al seguente:
storagebucket.storage.cnrm.cloud.google.com/tutorial-asia-southeast1-PROJECT_ID created
Questo output include
PROJECT_ID
, che è l'ID progetto Google Cloud.Verifica che Config Connector abbia creato il bucket Cloud Storage:
gcloud storage ls | grep tutorial
L'output è simile al seguente:
gs://tutorial-asia-southeast1-PROJECT_ID/ gs://tutorial-us-central1-PROJECT_ID/
Se non vedi questo output, attendi un minuto ed esegui di nuovo questo passaggio.
Vincoli di audit
L'audit controller in Policy Controller valuta periodicamente le risorse e i relativi vincoli. Il controller rileva le violazioni dei criteri per le risorse create prima del vincolo e per le risorse create all'esterno di Config Connector.
In Cloud Shell, visualizza le violazioni per tutti i vincoli che utilizzano il modello di vincolo
GCPStorageLocationConstraintV1
:kubectl get gcpstoragelocationconstraintv1 -o json \ | jq '.items[].status.violations'
L'output è simile al seguente:
[ { "enforcementAction": "deny", "kind": "StorageBucket", "message": "Cloud Storage bucket <tutorial-us-central1-PROJECT_ID> uses a disallowed location <us-central1>, allowed locations are \"asia-southeast1\", \"asia-southeast2\"", "name": "tutorial-us-central1-PROJECT_ID", "namespace": "NAMESPACE" } ]
Vedrai il bucket Cloud Storage che hai creato in
us-central1
. prima di creare il vincolo.
Convalida le risorse durante lo sviluppo
Durante le build di sviluppo e integrazione continua, è utile convalidare delle risorse rispetto ai vincoli prima di applicarle ai tuoi cluster GKE. La convalida fornisce un feedback rapido e ti consente a rilevare tempestivamente i problemi relativi a risorse e vincoli. Questa procedura ti mostra come per convalidare le risorse kpt. Lo strumento a riga di comando kpt consente di gestire e applicare le risorse Kubernetes e i file manifest.
In Cloud Shell, esegui
gatekeeper
Funzione KRM utilizzando kpt:kpt fn eval . --image=gcr.io/kpt-fn/gatekeeper:v0.2 --truncate-output=false
Una funzione KRM è un programma in grado di mutare o convalidare Kubernetes archiviate nel file system locale come file YAML.
gatekeeper
La funzione KRM convalida il bucket Cloud Storage di Config Connector a fronte del criterio Gatekeeper. La funzione KRMgatekeeper
è pacchettizzati come un'immagine container disponibile in Artifact Registry.La funzione segnala che i file manifest per Cloud Storage i bucket nelle regioni
us-central1
eus-west1
violano il vincolo.L'output è simile al seguente:
[RUNNING] "gcr.io/kpt-fn/gatekeeper:v0.2" [FAIL] "gcr.io/kpt-fn/gatekeeper:v0.2" Results: [ERROR] Cloud Storage bucket <tutorial-us-central1-PROJECT_ID> uses a disallowed location <us-central1>, allowed locations are ["asia-southeast1", "asia-southeast2"] violatedConstraint: singapore-and-jakarta-only in object "storage.cnrm.cloud.google.com/v1beta1/StorageBucket/tutorial/tutorial-us-central1-GOOGLE_CLOUD_PROJECT" in file "tutorial-storagebucket-us-central1.yaml" [ERROR] Cloud Storage bucket <tutorial-us-west1-PROJECT_ID> uses a disallowed location <us-west1>, allowed locations are ["asia-southeast1", "asia-southeast2"] violatedConstraint: singapore-and-jakarta-only in object "storage.cnrm.cloud.google.com/v1beta1/StorageBucket/tutorial/tutorial-us-west1-GOOGLE_CLOUD_PROJECT" in file "tutorial-storagebucket-us-west1.yaml" Stderr: "[error] storage.cnrm.cloud.google.com/v1beta1/StorageBucket/test/tutorial-us-central1-PROJECT_ID : Cloud Storage bucket <tutorial-us-central1-PROJECT_ID> uses a disallowed location <us-central1>, allowed locations are [\"asia-southeast1\", \"asia-southeast2\"]" "violatedConstraint: singapore-and-jakarta-only" "" "[error] storage.cnrm.cloud.google.com/v1beta1/StorageBucket/test/tutorial-us-west1-PROJECT_IDT : Cloud Storage bucket <tutorial-us-west1-PROJECT_IDgt; uses a disallowed location <us-west1>, allowed locations are [\"asia-southeast1\", \"asia-southeast2\"]" "violatedConstraint: singapore-and-jakarta-only" "" Exit code: 1
Convalida le risorse create all'esterno di Config Connector
Puoi convalidare le risorse Google Cloud create all'esterno Config Connector esportando le risorse. Dopo aver esportato le risorse, utilizza una delle seguenti opzioni per valutare i criteri di Policy Controller rispetto alle risorse esportate:
Convalida le risorse utilizzando la funzione KRM
gatekeeper
.Importa le risorse in Config Connector.
Per esportare le risorse, usa Cloud Asset Inventory.
In Cloud Shell, abilita l'API Cloud Asset:
gcloud services enable cloudasset.googleapis.com
Elimina i file manifest delle risorse Kubernetes Bucket Cloud Storage in
us-central1
eus-west1
:rm tutorial-storagebucket-us-*.yaml
Esporta tutte le risorse Cloud Storage nel progetto attuale, e archivierai l'output in un file denominato
export.yaml
:gcloud beta resource-config bulk-export \ --project $GOOGLE_CLOUD_PROJECT \ --resource-format krm \ --resource-types StorageBucket > export.yaml
L'output è simile al seguente:
Exporting resource configurations to stdout... Export complete.
Crea un pipeline kpt concatenando le funzioni KRM. Questa pipeline convalida le risorse nella directory attuale rispetto alla località del bucket Cloud Storage norme:
kpt fn source . \ | kpt fn eval - --image=gcr.io/kpt-fn/set-namespace:v0.1 -- namespace=NAMESPACE \ | kpt fn eval - --image=gcr.io/kpt-fn/gatekeeper:v0.2 --truncate-output=false
Le risorse esportate non hanno un valore per i metadati
namespace
. Questa pipeline utilizza una funzione KRM denominataset-namespace
per impostare il valorenamespace
di tutte le risorse.L'output è simile al seguente e mostra violazioni per che hai esportato:
[RUNNING] "gcr.io/kpt-fn/set-namespace:v0.1" [PASS] "gcr.io/kpt-fn/set-namespace:v0.1" [RUNNING] "gcr.io/kpt-fn/gatekeeper:v0.2" [FAIL] "gcr.io/kpt-fn/gatekeeper:v0.2" Results: [ERROR] Cloud Storage bucket <tutorial-us-central1-PROJECT_ID> uses a disallowed location <us-central1>, allowed locations are ["asia-southeast1", "asia-southeast2"] violatedConstraint: singapore-and-jakarta-only in object "storage.cnrm.cloud.google.com/v1beta1/StorageBucket/tutorial/tutorial-us-central1-GOOGLE_CLOUD_PROJECT" in file "export.yaml" Stderr: "[error] storage.cnrm.cloud.google.com/v1beta1/StorageBucket/test/tutorial-us-central1-PROJECT_ID : Cloud Storage bucket <tutorial-us-central1-PROJECT_ID> uses a disallowed location <us-central1>, allowed locations are [\"asia-southeast1\", \"asia-southeast2\"]" "violatedConstraint: singapore-and-jakarta-only" "" Exit code: 1
Se il tuo progetto Google Cloud contiene bucket Cloud Storage che che hai creato prima di lavorare a questo tutorial e la sua posizione viola le , i bucket creati in precedenza vengono visualizzati nell'output.
Congratulazioni. Hai configurato correttamente una norma che regola il località consentita dei bucket Cloud Storage. Il tutorial è stato completato. Ora puoi continuare ad aggiungere i tuoi criteri per altri servizi Google Cloud Google Cloud.
Risoluzione dei problemi
Se Config Connector non crea le risorse Google Cloud previste, usa questo comando in Cloud Shell per visualizzare i log Gestore controller Config Connector:
kubectl logs --namespace cnrm-system --container manager \
--selector cnrm.cloud.google.com/component=cnrm-controller-manager,cnrm.cloud.google.com/scoped-namespace=NAMESPACE
Se Policy Controller non applica i criteri correttamente, utilizza seguente comando per visualizzare i log del gestore controller:
kubectl logs deployment/gatekeeper-controller-manager \
--namespace gatekeeper-system
Se Policy Controller non segnala violazioni in status
degli oggetti vincolo, visualizza i log dell'audit controller
utilizzando questo comando:
kubectl logs deployment/gatekeeper-audit --namespace gatekeeper-system
Se riscontri altri problemi con questo tutorial, ti consigliamo di consultare questi documenti:
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.
Elimina il progetto
- In the Google Cloud console, go to the Manage resources page.
- If the project that you plan to delete is attached to an organization, expand the Organization list in the Name column.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
Elimina le risorse
Se vuoi conservare il progetto Google Cloud che hai usato in questo tutorial, le singole risorse.
In Cloud Shell, elimina la località del bucket Cloud Storage vincolo:
kubectl delete -f tutorial-storagebucket-location-constraint.yaml
Aggiungi il parametro Annotazione
cnrm.cloud.google.com/force-destroy
con un valore stringa ditrue
per tutte lestoragebucket
risorse nello spazio dei nomi gestito da Config Connector:kubectl annotate storagebucket --all --namespace NAMESPACE \ cnrm.cloud.google.com/force-destroy=true
Questa annotazione è istruzione che consente a Config Connector di eliminare un bucket Cloud Storage elimini la risorsa
storagebucket
corrispondente nel cluster GKE, anche se il bucket contiene oggetti.Elimina le risorse Config Connector che rappresentano Cloud Storage bucket:
kubectl delete --namespace NAMESPACE storagebucket --all
Elimina il cluster GKE:
gcloud container clusters delete CLUSTER_NAME \ --zone ZONE --async --quiet
Elimina l'associazione dei criteri di Workload Identity in IAM:
gcloud iam service-accounts remove-iam-policy-binding \ SERVICE_ACCOUNT_NAME@$GOOGLE_CLOUD_PROJECT.iam.gserviceaccount.com \ --member "serviceAccount:$GOOGLE_CLOUD_PROJECT.svc.id.goog[cnrm-system/cnrm-controller-manager-NAMESPACE]" \ --role roles/iam.workloadIdentityUser
Elimina l'associazione del ruolo Amministratore Cloud Storage per la account di servizio:
gcloud projects remove-iam-policy-binding $GOOGLE_CLOUD_PROJECT \ --member "serviceAccount:SERVICE_ACCOUNT_NAME@$GOOGLE_CLOUD_PROJECT.iam.gserviceaccount.com" \ --role roles/storage.admin
Elimina l'account di servizio Google che hai creato per Config Connector:
gcloud iam service-accounts delete --quiet \ SERVICE_ACCOUNT_NAME@$GOOGLE_CLOUD_PROJECT.iam.gserviceaccount.com