Appliquer plusieurs groupes Policy Controller

Cette page explique comment activer les bundles Policy Controller.

Pour en savoir plus sur l'application et l'utilisation des groupes de règles, consultez les instructions concernant le groupe que vous souhaitez appliquer dans le menu de navigation de gauche. Pour en savoir plus sur les bundles de règles, consultez la présentation des bundles Policy Controller.

Si vous avez installé Policy Controller à l'aide de la console Google Cloud , le groupe de règles essentielles est installé par défaut, mais vous pouvez en activer davantage.

Avant de commencer

Appliquer des lots de règles

Console

Pour appliquer un ou plusieurs groupes de règles à un cluster à l'aide de la console Google Cloud , procédez comme suit:

  1. Dans la console Google Cloud , accédez à la page Stratégie de GKE Enterprise sous la section Gestion de la stratégie.

    Accéder à la page "Règle"

  2. Sous l'onglet Paramètres, dans la table du cluster, sélectionnez Modifier dans la colonne Modifier la configuration.

  3. Dans le menu Ajouter/Modifier des groupes de règles, assurez-vous que la bibliothèque de modèles est activée.

  4. Pour activer tous les groupes de règles, activez l'option Ajouter tous les groupes de règles.

  5. Pour activer des groupes de règles individuels, activez l'option pour chaque groupe de règles que vous souhaitez activer.

  6. Facultatif : pour qu'un espace de noms soit exempté de l'application forcée, développez le menu Afficher les paramètres avancés. Dans le champ Exempter les espaces de noms, fournissez la liste des espaces de noms valides.

    Bonne pratique:

    Exemptez les espaces de noms système pour éviter les erreurs dans votre environnement. Vous trouverez les instructions pour exempter des espaces de noms et une liste des espaces de noms courants créés par les services Google Cloud sur la page Exclure des espaces de noms.

  7. Sélectionnez Enregistrer les modifications.

Vous pouvez consulter des informations supplémentaires sur la couverture de vos règles et les cas de non-respect de ces règles à l'aide du tableau de bord Policy Controller.

gcloud

Pour appliquer un groupe de règles, procédez comme suit :

  1. Si l'un des groupes que vous appliquez utilise des contraintes référentielles, vous devez activer la compatibilité avec les contraintes référentielles :

    gcloud container fleet policycontroller update --referential-rules

    Vous pouvez vérifier si un bundle nécessite la prise en charge des contraintes référentielles dans la présentation des bundles de règles.

  2. Pour chaque groupe que vous souhaitez installer, exécutez la commande suivante :

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME

    Remplacez BUNDLE_NAME par le nom du bundle que vous souhaitez installer. Le nom correspond au préfixe du bundle, par exemple cis-k8s-v1.5.1. Vous trouverez une liste de noms dans la présentation des bundles de règles.

  3. Facultatif : pour qu'un espace de noms soit exempté de l'application forcée, exécutez la commande suivante :

    gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
  --exempted-namespaces=NAMESPACES

    Remplacez NAMESPACES par une liste d'espaces de noms séparés par des virgules que vous ne souhaitez pas appliquer, par exemple kube-system,gatekeeper-system.

    Pour savoir comment ajouter des espaces de noms exemptables, consultez la section Exclure des espaces de noms de Policy Controller.

  4. Pour supprimer un groupe, exécutez la commande suivante :

    gcloud container fleet policycontroller content bundles remove BUNDLE_NAME

Dépannage

Vous ne pouvez pas modifier les bundles de règles installés directement à l'aide des instructions de cette page. Si vous rencontrez des problèmes avec un lot de règles et que vous devez apporter des modifications, installez-le à l'aide de l'une des méthodes indiquées sur la page du lot de règles concerné. Ces méthodes extraient le bundle de règles à partir d'un dépôt Git, ce qui vous permet d'apporter des modifications. Par exemple, si vous souhaitez modifier le benchmark CIS de Kubernetes 1.5, suivez les instructions de la section Utiliser les contraintes liées aux règles du benchmark CIS v1.5.1 de Kubernetes plutôt que cette page.

Étapes suivantes