策略治理介紹

PodSecurityPolicy（簡稱PSP）從Kubenetes 1.21版本開始被標(biāo)記為棄用（Deprecated）狀態(tài)。為此，ACS集群改版了原先基于PSP的策略管理功能。基于使用OPA策略的Gatekeeper準(zhǔn)入控制器，ACK集群擴(kuò)展了相應(yīng)的策略治理狀態(tài)統(tǒng)計和日志上報檢索等能力，同時內(nèi)置了種類豐富的策略治理規(guī)則庫，提供符合更多K8s應(yīng)用場景的策略規(guī)則。在規(guī)則配置上，您可以在控制臺上白屏化配置，降低使用策略治理相關(guān)能力的門檻。

前提條件

• 已創(chuàng)建ACS集群，具體操作， 請參見創(chuàng)建ACS集群。

• 使用RAM用戶進(jìn)行策略管理時，已確保該RAM用戶擁有以下授權(quán)：

  • cs:DescribePolicies：列舉策略治理規(guī)則庫列表

  • cs:DescribePoliceDetails：獲取策略規(guī)則模板詳情

  • cs:DescribePolicyGovernanceInCluster：獲取集群策略治理詳情

  • cs:DescribePolicyInstances：獲取集群中當(dāng)前部署的策略實例列表

  • cs:DescribePolicyInstancesStatus：獲取集群當(dāng)前不同策略類型對應(yīng)的實例部署狀態(tài)

  • cs:DeployPolicyInstance：在指定集群中部署策略規(guī)則實例

  • cs:DeletePolicyInstance：在指定集群中刪除策略規(guī)則實例

  • cs:ModifyPolicyInstance：在指定集群中修改策略規(guī)則實例

  關(guān)于如何自定義RAM授權(quán)策略，請參見為RAM用戶或RAM角色授予RAM權(quán)限。

注意事項

• 僅適用于Linux節(jié)點。

• 當(dāng)前不支持自定義策略規(guī)則，所有規(guī)則均來自于阿里云容器服務(wù)內(nèi)置的規(guī)則庫。

步驟一：安裝或升級策略治理組件

啟用安全策略治理功能時，需安裝以下組件：

• gatekeeper組件：基于OPA策略引擎的K8s策略準(zhǔn)入控制器，便于您管理和應(yīng)用集群內(nèi)的OPA策略，實現(xiàn)命名空間標(biāo)簽管理等功能。

  說明

  僅支持使用ACS集群提供的gatekeeper組件。如您通過其他途徑安裝了gatekeeper組件，請卸載后重新安裝。關(guān)于gatekeeper組件的版本發(fā)布信息，請參見gatekeeper。

• logtail-ds日志組件：對不符合策略約束的攔截或告警事件的收集和檢索。

• policy-template-controller組件：為基于阿里云策略模板開發(fā)的K8s控制器，便于您更好地管理基于不同策略模板部署的策略實例和集群整體的治理狀態(tài)。

1. 登錄容器計算服務(wù)控制臺，在左側(cè)導(dǎo)航欄選擇集群。

2. 在集群列表頁面，單擊目標(biāo)集群名稱，然后在左側(cè)導(dǎo)航欄，選擇安全管理 > 策略管理。

3. 在策略管理頁面，根據(jù)頁面提示安裝或升級組件。

步驟二：使用策略治理功能

相關(guān)文檔

關(guān)于策略治理支持的四類內(nèi)置規(guī)則庫，包括Compliance、Infra、K8s-general和PSP，請參見容器安全策略規(guī)則庫說明。