Übung: Aktivieren von Azure Policy für AKS

  • 45 Minuten

Angenommen, Sie möchten ein AKS-Cluster für ein neues Videospiel erstellen, an dem Ihr Team gerade arbeitet. Sie möchten dabei ausprobieren, den Cluster mit Azure-Richtlinien zu steuern. Auf Grundlage Ihrer Untersuchungen haben Sie entschieden, mit den folgenden Richtlinien zu beginnen:

  • Zulassen von Images in den Cluster nur aus vertrauenswürdigen Registrierungen
  • Eingeschränkte Podsicherheitsstandards für Kubernetes-Cluster bei Linux-basierten Workloadinitiativen

Der erste Schritt besteht darin, einen AKS-Cluster zu erstellen, für den Azure-Richtlinien aktiviert sind.

Hinweis

Diese Übung ist optional. Wenn Sie die Schritte in dieser Übung ausführen möchten, müssen Sie zuvor ein Azure-Abonnement erstellen. Wenn Sie kein Azure-Konto besitzen oder gerade kein Konto erstellen möchten, können Sie die Anweisungen durchlesen und die dargelegten Informationen nachvollziehen.

Erstellen eines AKS-Clusters mit dem Add-On für Azure Policy und Azure Monitor

Bevor Sie das Add-On für Azure Policy installieren oder eines der Dienstfeatures aktivieren, muss Ihr Abonnement den Ressourcenanbieter Microsoft.PolicyInsights erlauben.

  1. Azure CLI-Version 2.12.0 oder höher muss installiert und konfiguriert sein. Führen Sie az --version aus, um die Version zu ermitteln. Installations- und Upgradeinformationen finden Sie bei Bedarf unter Installieren von Azure CLI.
  2. Registrieren Sie die Ressourcenanbieter und die Previewfunktionen.

In dieser Übung verwenden wir Azure Cloud Shell, um die Befehle auszuführen. Sie können ein Terminal Ihrer Wahl für diese Übung verwenden. Melden Sie sich zunächst im Azure-Portal an.

Einrichten der Umgebung

  1. Öffnen Sie das Azure-Portal.

    Azure portal

  2. Klicken Sie auf das Cloud Shell-Symbol oben auf dem Bildschirm, das sich rechts neben der Suchleiste befindet.

    screenshot of Azure portal on the cloud shell creation screen.

  3. Wählen Sie das entsprechende Abonnement, und klicken Sie auf Speicherpool erstellen.

  4. Klicken Sie in der linken oberen Ecke der resultierenden Cloud Shell-Instanz auf PowerShell, und ändern Sie es in Bash. Wenn Bash bereits angezeigt wird, können Sie diesen Schritt überspringen.

  5. Registrieren Sie die Ressourcenanbieter und Previewfunktionen, indem Sie den folgenden Befehl in Cloud Shell eingeben.

    # Log in first with az login if you're not using Cloud Shell
# Provider register: Register the Azure Policy provider
az provider register --namespace Microsoft.PolicyInsights

  6. Installieren Sie nach Abschluss der oben genannten erforderlichen Schritte das Add-On für Azure Policy im AKS-Cluster, den Sie verwalten möchten. Befolgen Sie dazu die Anweisungen im obigen Hinweis. Im nächsten Abschnitt erstellen wir einen neuen Cluster und aktivieren das Add-On für Azure Policy.

Erstellen eines AKS-Clusters und Aktivieren des Add-Ons für Azure Policy

Nachdem wir den Anbieter registriert haben, können wir eine neue Ressourcengruppe und einen AKS-Cluster in dieser Gruppe erstellen.

  1. Erstellen einer Ressourcengruppe

    az group create --location eastus --name videogamerg

  2. Erstellen eines AKS-Clusters mit den Standardeinstellungen

    Hinweis

    Für Produktionsworkloads sollten Sie die Konfiguration Ihres Clusters weiter anpassen, damit er Ihre Sicherheits- und Governanceanforderungen erfüllt. Zu Schulungszwecken verwenden wir lediglich einen einfachen Cluster.

    az aks create --name videogamecluster --resource-group videogamerg

  3. Aktivieren von Azure-Richtlinien für den Cluster

    az aks enable-addons --addons azure-policy --name videogamecluster --resource-group videogamerg