Mengecualikan namespace dari Pengontrol Kebijakan

Halaman ini menjelaskan cara mengonfigurasi namespace yang dikecualikan di Pengontrol Kebijakan.

Namespace yang dikecualikan menghapus namespace dari penerapan webhook penerimaan dengan Pengontrol Kebijakan, tetapi setiap pelanggaran tetap dilaporkan dalam audit. Jika Anda tidak mengonfigurasi namespace apa pun, hanya namespace gatekeeper-system yang telah dikonfigurasi sebelumnya sebagai dikecualikan dari penerapan webhook penerimaan Pengontrol Kebijakan.

Mengonfigurasi namespace yang dikecualikan

Mengonfigurasi namespace yang dapat dikecualikan akan menerapkan label admission.gatekeeper.sh/ignore, yang mengecualikan namespace dari penegakan webhook penerimaan Pengontrol Kebijakan. Jika Anda menghapus namespace yang dapat dikecualikan nanti, Pengontrol Kebijakan tidak akan menghapus label admission.gatekeeper.sh/ignore dari namespace.

Mengecualikan namespace dari penegakan

Anda dapat mengecualikan namespace baik selama penginstalan Pengontrol Kebijakan, atau setelah penginstalan. Proses berikut menunjukkan cara mengecualikan namespace setelah penginstalan.

Konsol

  1. Di Google Cloud konsol, buka halaman Policy GKE Enterprise di bagian Posture Management.

    Buka Kebijakan

  2. Di tab Settings, pada tabel cluster, pilih Edit di kolom Edit configuration.
  3. Luaskan menu Edit Policy Controller configuration.
  4. Di kolom Namespace yang dikecualikan, berikan daftar namespace yang valid. Objek di namespace ini diabaikan oleh semua kebijakan. Namespace belum perlu ada.
  5. Pilih Simpan perubahan.

gcloud

Untuk menambahkan namespace ke daftar namespace yang mungkin dikecualikan dari penerapan oleh webhook penerimaan, jalankan perintah berikut:

  gcloud container fleet policycontroller update \
    --memberships=MEMBERSHIP_NAME \
    --exemptable-namespaces=[NAMESPACE_LIST]

Ganti kode berikut:

  • MEMBERSHIP_NAME: nama keanggotaan cluster terdaftar yang akan dikecualikan namespace-nya. Anda dapat menentukan beberapa keanggotaan yang dipisahkan dengan koma.
  • NAMESPACE_LIST: daftar namespace yang dipisahkan koma yang ingin Anda kecualikan dari penerapan oleh Policy Controller.

Perintah ini hanya mengecualikan resource dari webhook penerimaan. Resource masih diaudit. Untuk mengecualikan namespace dari audit, tetapkan pengecualian di tingkat paket kebijakan:

  gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
    --memberships=MEMBERSHIP_NAME \
    --exempted-namespaces=[NAMESPACE_LIST]

Ganti kode berikut:

  • BUNDLE_NAME dengan nama paket kebijakan yang ingin Anda perbarui dengan namespace yang dikecualikan.
  • MEMBERSHIP_NAME: nama keanggotaan cluster terdaftar yang akan dikecualikan namespace-nya. Anda dapat menentukan beberapa keanggotaan yang dipisahkan dengan koma.
  • NAMESPACE_LIST: daftar namespace yang dipisahkan koma yang ingin Anda kecualikan dari penerapan oleh Policy Controller.

Namespace yang dikecualikan dari penegakan

Berikut beberapa namespace yang dapat dibuat oleh Google Kubernetes Engine (GKE) dan produk terkait. Anda dapat mengecualikannya dari penegakan untuk menghindari dampak yang tidak diinginkan:

- anthos-creds
- anthos-identity-service
- apigee
- apigee-system
- asm-system
- capi-kubeadm-bootstrap-system
- capi-system
- cert-manager
- cnrm-system
- config-management-monitoring
- config-management-system
- gke-connect
- gke-gmp-system
- gke-managed-cim
- gke-managed-filestorecsi
- gke-managed-metrics-server
- gke-managed-system
- gke-system
- gmp-public
- gmp-system
- hnc-system
- istio-system
- kube-node-lease
- kube-public
- kube-system
- poco-trial
- resource-group-system
- vm-system