策略治理介紹

PodSecurityPolicy（簡(jiǎn)稱(chēng)PSP）從Kubenetes 1.21版本開(kāi)始被標(biāo)記為棄用（Deprecated）狀態(tài)。為此，ACS集群改版了原先基于PSP的策略管理功能。基于使用OPA策略的Gatekeeper準(zhǔn)入控制器，ACK集群擴(kuò)展了相應(yīng)的策略治理狀態(tài)統(tǒng)計(jì)和日志上報(bào)檢索等能力，同時(shí)內(nèi)置了種類(lèi)豐富的策略治理規(guī)則庫(kù)，提供符合更多K8s應(yīng)用場(chǎng)景的策略規(guī)則。在規(guī)則配置上，您可以在控制臺(tái)上白屏化配置，降低使用策略治理相關(guān)能力的門(mén)檻。

前提條件

• 已創(chuàng)建ACS集群，具體操作， 請(qǐng)參見(jiàn)創(chuàng)建ACS集群。

• 使用RAM用戶(hù)進(jìn)行策略管理時(shí)，已確保該RAM用戶(hù)擁有以下授權(quán)：

  • cs:DescribePolicies：列舉策略治理規(guī)則庫(kù)列表

  • cs:DescribePoliceDetails：獲取策略規(guī)則模板詳情

  • cs:DescribePolicyGovernanceInCluster：獲取集群策略治理詳情

  • cs:DescribePolicyInstances：獲取集群中當(dāng)前部署的策略實(shí)例列表

  • cs:DescribePolicyInstancesStatus：獲取集群當(dāng)前不同策略類(lèi)型對(duì)應(yīng)的實(shí)例部署狀態(tài)

  • cs:DeployPolicyInstance：在指定集群中部署策略規(guī)則實(shí)例

  • cs:DeletePolicyInstance：在指定集群中刪除策略規(guī)則實(shí)例

  • cs:ModifyPolicyInstance：在指定集群中修改策略規(guī)則實(shí)例

  關(guān)于如何自定義RAM授權(quán)策略，請(qǐng)參見(jiàn)為RAM用戶(hù)或RAM角色授予RAM權(quán)限。

注意事項(xiàng)

• 僅適用于Linux節(jié)點(diǎn)。

• 當(dāng)前不支持自定義策略規(guī)則，所有規(guī)則均來(lái)自于阿里云容器服務(wù)內(nèi)置的規(guī)則庫(kù)。

步驟一：安裝或升級(jí)策略治理組件

啟用安全策略治理功能時(shí)，需安裝以下組件：

• gatekeeper組件：基于OPA策略引擎的K8s策略準(zhǔn)入控制器，便于您管理和應(yīng)用集群內(nèi)的OPA策略，實(shí)現(xiàn)命名空間標(biāo)簽管理等功能。

  說(shuō)明

  僅支持使用ACS集群提供的gatekeeper組件。如您通過(guò)其他途徑安裝了gatekeeper組件，請(qǐng)卸載后重新安裝。關(guān)于gatekeeper組件的版本發(fā)布信息，請(qǐng)參見(jiàn)gatekeeper。

• logtail-ds日志組件：對(duì)不符合策略約束的攔截或告警事件的收集和檢索。

• policy-template-controller組件：為基于阿里云策略模板開(kāi)發(fā)的K8s控制器，便于您更好地管理基于不同策略模板部署的策略實(shí)例和集群整體的治理狀態(tài)。

1. 登錄容器計(jì)算服務(wù)控制臺(tái)，在左側(cè)導(dǎo)航欄選擇集群。

2. 在集群列表頁(yè)面，單擊目標(biāo)集群名稱(chēng)，然后在左側(cè)導(dǎo)航欄，選擇安全管理 > 策略管理。

3. 在策略管理頁(yè)面，根據(jù)頁(yè)面提示安裝或升級(jí)組件。

步驟二：使用策略治理功能

相關(guān)文檔

關(guān)于策略治理支持的四類(lèi)內(nèi)置規(guī)則庫(kù)，包括Compliance、Infra、K8s-general和PSP，請(qǐng)參見(jiàn)容器安全策略規(guī)則庫(kù)說(shuō)明。