Überprüfen des Konformitätsstatus mit Azure Policy

  • 3 Minuten

Im vorherigen Abschnitt haben Sie erfahren, wie Azure Policy-Richtlinien verwendet werden können, um Ihren Cluster mithilfe einer integrierten Richtlinie und Initiative einfach zu verwalten. Zudem haben Sie festgestellt, dass die Richtlinie bereits vorhandene Pods nicht beendet. Sie möchten jedoch nicht konforme Pods ermitteln, damit Sie Maßnahmen für sie ergreifen können. Diese Schritte führen Sie in dieser Übung aus.

Hinweis

Diese Übung ist optional. Wenn Sie die Schritte in dieser Übung ausführen möchten, müssen Sie zuvor ein Azure-Abonnement erstellen. Wenn Sie kein Azure-Konto besitzen oder gerade kein Konto erstellen möchten, können Sie die Anweisungen durchlesen und die dargelegten Informationen nachvollziehen.

Anzeigen nicht konformer Pods mithilfe des Azure-Portals

  1. Wechseln Sie im Azure-Portal zur Seite Richtlinie.

  2. Oben können Sie den Bereich auf Ihre Clusterressourcengruppe festlegen, indem Sie auf die Punkte (...) klicken. Wählen Sie das Abonnement und die Ressourcengruppe aus, in denen sich der AKS-Cluster befindet, und klicken Sie unten auf Auswählen.

    screenshot showing how to set the scope of what policies you're interested in viewing.

    Hinweis

    Es kann einige Minuten dauern, bis die nicht konformen Pods im Portal angezeigt werden.

    Hier sehen Sie, dass Sie über nicht konforme Ressourcen für die bereitgestellte Richtlinie und Initiative verfügen. Die Ressourcen sind nicht mit drei Richtlinien der Initiative Eingeschränkte Sicherheitsstandards für Kubernetes-Clusterpods bei Linux-basierten Workloads für „videogamerg“ konform. Wenn Sie auf diese Initiative klicken, wird angezeigt, welche der acht die drei nicht konformen Richtlinien sind.

    screenshot showing the policies that the resources are not compliant with.

  3. Wählen Sie die Richtlinie Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden aus. Nun wird der Cluster angezeigt, in dem sich der nicht konforme Pod befindet.

  4. Klicken Sie auf den Cluster, um weitere Details darüber zu erhalten, welcher Pod nicht konform ist. Hier sehen Sie den Namen des bestimmten Pods, der nicht konform ist. Sie erfahren, dass nur der erste bereitgestellte Pod nicht konform ist. Dies ist eine effektive Möglichkeit, den Konformitätsstatus Ihres Clusters zu überwachen.

    screenshot showing that that only the first pod deployed was not compliant.

Entfernen des nicht konformen Pods und erneutes Überprüfen der Konformität

Nachdem Sie nun den Pod gefunden haben, der nicht konform ist, löschen Sie diesen Pod. Nach dem Löschen des Pods verhindert die Richtlinie zukünftig die Bereitstellung nicht konformer Pods. Die Initiative Eingeschränkte Sicherheitsstandards für Kubernetes-Clusterpods bei Linux-basierten Workloads für „videogamerg“ ist auf die Überwachung festgelegt, sodass Sie nicht konforme Pods ermitteln können, die Bereitstellung nicht konformer Pods aber nicht verhindert wird. Die Einhaltung dieser Initiative durch die Pods übersteigt den Rahmen dieses Kurses. Daher liegt der Fokus auf der Korrektur der Richtlinie, die Sie für den deny-Effekt festgelegt haben.

Öffnen Sie Cloud Shell erneut, und löschen Sie die nicht konforme Bereitstellung.

kubectl delete deployment simple-nginx

Es kann bis zu 45 Minuten dauern, bis die Änderungen im Portal angezeigt werden. Nachdem Sie gewartet haben, navigieren Sie zurück zur Richtlinie, um herauszufinden, ob noch nicht konforme Pods vorhanden sind. Sie werden feststellen, dass Ihr Cluster jetzt mit der Richtlinie konform ist.

screenshot showing that the resource is now compliant.

Zusammenfassung

In dieser Lerneinheit haben Sie erfahren, wie Sie das Azure-Portal verwenden, um Pods zu identifizieren, die nicht mit Ihren Richtlinien konform sind. Anschließend haben Sie einen Pod gelöscht, der nicht mit einer der Richtlinien konform war. Außerdem haben Sie erfahren, wie Sie Probleme mit Ihren Bereitstellungen behandeln und Pods identifizieren, die aufgrund einer deny-Richtlinie nicht bereitgestellt werden. Außerdem haben Sie gelernt, wie Sie das Azure-Portal verwenden, um nicht konforme Ressourcen und die Richtlinien anzuzeigen, mit denen sie nicht konform sind. Sie haben auch eines der Probleme behoben, indem Sie den nicht konformen Pod gelöscht haben, den Sie zuerst erstellt haben. Nachdem Sie nun eine Richtlinie und eine Initiative hinzugefügt und getestet haben, können Sie die anderen integrierten Richtlinien für Kubernetes durchgehen und diejenigen ermitteln, die Ihren Geschäftsanforderungen entsprechen.