Escludere gli spazi dei nomi da Policy Controller

Questa pagina descrive come configurare gli spazi dei nomi esenti in Policy Controller.

Gli spazi dei nomi esenti rimuovono uno spazio dei nomi dall'applicazione del webhook di ammissione con Policy Controller, ma eventuali violazioni vengono comunque registrate nel controllo. Se non configuri alcuno spazio dei nomi, solo lo spazio dei nomi gatekeeper-system è preconfigurato come esente dall'applicazione del webhook di ammissione di Policy Controller.

Configura gli spazi dei nomi esenti

La configurazione di uno spazio dei nomi esente ti consente di applicare l'etichetta admission.gatekeeper.sh/ignore per esentare lo spazio dei nomi dall'applicazione del webhook di ammissione di Policy Controller. Se in un secondo momento rimuovi uno spazio dei nomi esente, Policy Controller non rimuove l'etichetta admission.gatekeeper.sh/ignore dallo spazio dei nomi.

Esentare gli spazi dei nomi dall'applicazione

Puoi esentare gli spazi dei nomi durante l'installazione di Policy Controller o dopo l'installazione. La procedura riportata di seguito mostra come esentare i namespace dopo l'installazione.

Console

  1. Nella Google Cloud console, vai alla pagina Criteri di GKE Enterprise nella sezione Gestione della postura.

    Vai a Norme

  2. Nella scheda Impostazioni, nella tabella del cluster, seleziona Modifica nella colonna Modifica configurazione.
  3. Espandi il menu Modifica la configurazione di Policy Controller.
  4. Nel campo Spazi dei nomi esenti, fornisci un elenco di spazi dei nomi validi. Gli oggetti in questi spazi dei nomi vengono ignorati da tutti i criteri. Gli spazi dei nomi non devono ancora esistere.
  5. Seleziona Salva modifiche.

gcloud

Per aggiungere spazi dei nomi all'elenco di quelli che possono essere esenti dall'applicazione del webhook di ammissione, esegui il seguente comando:

  gcloud container fleet policycontroller update \
    --memberships=MEMBERSHIP_NAME \
    --exemptable-namespaces=[NAMESPACE_LIST]

Sostituisci quanto segue:

  • MEMBERSHIP_NAME: il nome dell'appartenenza del cluster registrato per cui esentare gli spazi dei nomi. Puoi specificare più iscrizioni separate da una virgola.
  • NAMESPACE_LIST: un elenco di spazi dei nomi separati da virgole da esentare dall'applicazione da parte di Policy Controller.

Questo comando esenta le risorse solo dal webhook di ammissione. Le risorse sono ancora sottoposte a controllo. Per esentare gli spazi dei nomi dal controllo, imposta l'esenzione a livello di bundle di criteri:

  gcloud container fleet policycontroller content bundles set BUNDLE_NAME \
    --memberships=MEMBERSHIP_NAME \
    --exempted-namespaces=[NAMESPACE_LIST]

Sostituisci quanto segue:

  • BUNDLE_NAME con il nome del bundle di norme che vuoi aggiornare con gli spazi dei nomi esenti.
  • MEMBERSHIP_NAME: il nome dell'appartenenza del cluster registrato per cui esentare gli spazi dei nomi. Puoi specificare più iscrizioni separate da una virgola.
  • NAMESPACE_LIST: un elenco di spazi dei nomi separati da virgole da esentare dall'applicazione da parte di Policy Controller.

Spazi dei nomi da escludere dall'applicazione

Questi sono alcuni degli spazi dei nomi che potrebbero essere creati da Google Kubernetes Engine (GKE) e dai prodotti correlati. Ti consigliamo di esentarli dall'applicazione per evitare un impatto indesiderato:

- anthos-creds
- anthos-identity-service
- apigee
- apigee-system
- asm-system
- capi-kubeadm-bootstrap-system
- capi-system
- cert-manager
- cnrm-system
- config-management-monitoring
- config-management-system
- gke-connect
- gke-gmp-system
- gke-managed-cim
- gke-managed-filestorecsi
- gke-managed-metrics-server
- gke-managed-system
- gke-system
- gmp-public
- gmp-system
- hnc-system
- istio-system
- kube-node-lease
- kube-public
- kube-system
- poco-trial
- resource-group-system
- vm-system