Školení
Modul
Zásady správného řízení služby Azure Kubernetes Services s využitím Azure Policy - Training
V tomto modulu probereme, jak pomocí služby Azure Policy pro Kubernetes vynucovat pravidla a zjišťovat nedodržení předpisů v clusterech AKS.
Účinek odepření definic Azure Policy
Účinek deny se používá k zabránění požadavku na prostředek, který neodpovídá definovaným standardům prostřednictvím definice zásady a požadavek selže.
Při vytváření nebo aktualizaci odpovídajícího prostředku v režimu Resource Manageru zabrání zamítnutí požadavku před odesláním poskytovateli prostředků. Požadavek se vrátí jako 403 (Forbidden). Na portálu Forbidden se dá zobrazit jako stav nasazení, kterému přiřazení zásad zabránilo. V případě režimu poskytovatele prostředků spravuje poskytovatel prostředků vyhodnocení prostředku.
Během vyhodnocování existujících prostředků se prostředky, které odpovídají deny definici zásady, označí jako nevyhovující.
V režimu deny Resource Manageru nemá efekt žádné další vlastnosti pro použití v then podmínce definice zásady.
U režimu Microsoft.Kubernetes.Datadeny poskytovatele prostředků má účinek následující dílčí období details. templateInfo Použití se vyžaduje pro nové nebo aktualizované definice zásad, jak constraintTemplate je zastaralé.
templateInfo(povinné)- Nelze použít s
constraintTemplate. sourceType(povinné)Definuje typ zdroje pro šablonu omezení. Povolené hodnoty:
PublicURLneboBase64Encoded.Pokud
PublicURLje spárováno s vlastnostíurlpro poskytnutí umístění šablony omezení. Umístění musí být veřejně přístupné.Upozornění
Nepoužívejte identifikátory URI SAS ani tokeny v
urltajných klíčích ani nic jiného, co by mohlo tajný kód vystavit.Pokud
Base64Encodedje spárováno s vlastnostícontent, která poskytuje základní 64 zakódovanou šablonu omezení. Viz Vytvoření definice zásady z šablony omezení a vytvoření vlastní definice z existující šablony omezení OPA (Open Policy Agent) Gatekeeper v3.
- Nelze použít s
constraint(volitelné)- Nelze použít s
templateInfo. - Implementace CRD šablony Omezení. Používá parametry předávané jako
values{{ .Values.<valuename> }}. V příkladu 2 níže jsou{{ .Values.excludedNamespaces }}tyto hodnoty a{{ .Values.allowedContainerImagesRegex }}.
- Nelze použít s
constraintTemplate(zastaralé)- Nelze použít s
templateInfo. - Při vytváření nebo aktualizaci definice zásady je nutné nahradit
templateInfo. - Šablona Constraint CustomResourceDefinition (CRD), která definuje nová omezení. Šablona definuje logiku rego, schéma omezení a parametry omezení, které se předávají ze
valuesslužby Azure Policy. Další informace najdete v tématu Omezení Gatekeeperu.
- Nelze použít s
constraintInfo(volitelné)- Nelze použít s
constraint,constraintTemplate,apiGroupsnebokinds. - Pokud
constraintInfonení zadané, omezení se dá vygenerovat zetemplateInfozásad a zásad. sourceType(povinné)Definuje typ zdroje pro omezení. Povolené hodnoty:
PublicURLneboBase64Encoded.Pokud
PublicURLje spárováno s vlastnostíurlpro poskytnutí umístění omezení. Umístění musí být veřejně přístupné.Upozornění
Nepoužívejte identifikátory URI SAS ani tokeny v
urltajných klíčích ani nic jiného, co by mohlo tajný kód vystavit.
- Nelze použít s
namespaces(volitelné)- Pole oborů názvů Kubernetes pro omezení vyhodnocování zásad na.
- Prázdná nebo chybějící hodnota způsobí, že vyhodnocení zásad zahrne všechny obory názvů s výjimkou těch definovaných v
excludedNamespaces.
excludedNamespaces(povinné)- Pole oborů názvů Kubernetes, které se mají vyloučit z vyhodnocení zásad.
labelSelector(povinné)- Objekt, který obsahuje
matchLabelsvlastnosti (object) amatchExpression(array), které umožňují určit, které prostředky Kubernetes mají být zahrnuty pro vyhodnocení zásad odpovídající zadaným popiskům a selektorům. - Prázdná nebo chybějící hodnota způsobí, že vyhodnocení zásad zahrne všechny popisky a selektory s výjimkou oborů názvů definovaných v
excludedNamespaces.
- Objekt, který obsahuje
apiGroups(vyžadováno při použití templateInfo)- Pole, které zahrnuje skupiny rozhraní API, které se mají shodovat. Prázdné pole (
[""]) je základní skupina rozhraní API. - Definování
["*"]pro skupiny apiGroups je zakázáno.
- Pole, které zahrnuje skupiny rozhraní API, které se mají shodovat. Prázdné pole (
kinds(vyžadováno při použití templateInfo)- Pole, které zahrnuje typ objektu Kubernetes, na který se má vyhodnocení omezit.
- Definování
["*"]pro druhy je zakázáno.
values(volitelné)- Definuje všechny parametry a hodnoty, které se mají předat omezení. Každá hodnota musí existovat v CRD šablony omezení.
Příklad 1: Použití efektu deny pro režimy Resource Manageru
JSON
"then": {
"effect": "deny"
}
Příklad 2: Použití efektu deny pro režim Microsoft.Kubernetes.Dataposkytovatele prostředků . Další informace v details.templateInfo deklaraci použití PublicURL a nastavení url na umístění šablony omezení pro použití v Kubernetes k omezení povolených imagí kontejneru.
JSON
"then": {
"effect": "deny",
"details": {
"templateInfo": {
"sourceType": "PublicURL",
"url": "https://store.policy.core.windows.net/kubernetes/container-allowed-images/v1/template.yaml",
},
"values": {
"imageRegex": "[parameters('allowedContainerImagesRegex')]"
},
"apiGroups": [
""
],
"kinds": [
"Pod"
]
}
}
- Projděte si příklady v ukázkách azure Policy.
- Projděte si strukturu definic Azure Policy.
- Seznamte se s programovým vytvářením zásad.
- Zjistěte, jak získat data dodržování předpisů.
- Zjistěte, jak napravit nevyhovující prostředky.
- Zkontrolujte skupiny pro správu Azure.