合规管理(Alpha)
Gatekeeper 组件介绍
Gatekeeper 是基于 Kubernetes 的自定义资源定义 (Custom Resource Definitions, CRDs) 和策略控制器 (Policy Controller) 机制实现的开源组件。它使用了声明式的方式,通过定义和部署规则和约束条件来保障集群的安全性和合规性。
通过 Gatekeeper,管理员可以轻松地实施合规性要求和安全策略,例如限制容器镜像来源、禁止使用特定的权限、控制资源配额等。Gatekeeper 还提供了对不合规操作的实时警告和报告功能,以及对集群中违规资源的识别和处理能力。
功能背景
平台的 集群配置管理 功能可将 Git 仓库中的配置文件同步下发至指定集群,但配置文件往往不满足公司或者组织的规范性要求,平台基于合规管理工具 Gatekeeper 组件实现了合规管理功能,通过在各个集群中安装该插件,可以通过已定义的安全策略和合规策略,对集群配置管理中下发至多个集群的配置资源进行统一管理,核查下发资源的安全性和合规性。
合规管理
使用流程
-
在目标集群中 部署 Gatekeeper 组件 。
-
参考 官方社区文档 编写 合规策略,并存储至代码仓库。
-
在左侧导航栏中,单击 集群管理 > 集群配置管理 并 创建同步规则 ,为目标集群配置合规策略和需要下发的资源。
-
在左侧导航栏中,单击 集群管理 > 合规管理,查看目标集群中的合规策略详情,包括违规资源和合规规则。
面板概览
| 标题 | 说明 |
|---|---|
| 安装合规插件的集群 | 安装或未安装 Gatekeeper 插件的集群统计。单击  查看未安装 Gatekeeper 插件集群的名称。 |
| 存在违规问题的集群 | 存在或不存在违规问题的集群统计。 提示:仅统计已安装 Gatekeeper 插件的集群。 |
| 违规问题总数 | 已安装 Gatekeeper 插件的集群中,出现违规问题的总数。 |
违规问题
- 平台按照集群资源划分合规策略,单击 集群名称,查看合规策略的安全模式以及违规问题数。平台支持三种安全模式:dryrun、warn 和 deny。
-
在 dryrun 模式下,Gatekeeper 会对不符合策略规则的资源进行检测和报告,但不会阻止其部署或修改。它主要用于提供一种审计机制,让您可以查看违反规则的资源,但仍然允许其在集群中存在。这种模式适合用于策略的试验和调试阶段。
-
在 warn 模式下,Gatekeeper 同样会检测并报告不符合策略规则的资源,但同时会发出警告,提示您存在违规行为。与 dryrun 模式相比,warn 模式会更加强调违规行为的存在,并引起您的注意。这种模式适合用于在集群中提醒和报告配置文件的违规问题,以遵循规范和最佳实践。
-
在 deny 模式下,Gatekeeper 对不符合策略规则的资源进行检测,并且会阻止其部署或修改。它会强制执行规则,确保集群中的资源符合规范。当资源违反策略规则时,Gatekeeper 会拒绝其操作,并返回错误信息,阻止不符合规则的资源进入集群。这种模式适合用于严格的安全和合规要求,以确保集群中的资源和行为符合预期的规则。
- 单击 合规策略名称,查看详情,例如:资源种类、所在命名空间、错误信息等。