Compartir a través de

Gobernanza de clústeres de Kubernetes

La gobernanza hace referencia a la capacidad de una organización de aplicar y validar reglas para ayudar a garantizar el cumplimiento de los estándares corporativos. La gobernanza ayuda a las organizaciones a mitigar los riesgos, cumplir con los estándares corporativos y las regulaciones externas, y minimizar la interrupción de la adopción o la innovación.

La gobernanza incluye iniciativas de planificación, establecimiento de prioridades estratégicas y uso de mecanismos y procesos para controlar las aplicaciones y los recursos. En el caso de los clústeres de Kubernetes en un entorno de nube, la gobernanza significa implementar directivas en clústeres de Kubernetes y en las aplicaciones que se ejecutan en esos clústeres.

La gobernanza de Kubernetes incluye el entorno en la nube, la infraestructura de implementación del clúster, los propios clústeres y las aplicaciones de los clústeres. Esta guía se centra en la gobernanza en los clústeres de Kubernetes. En el artículo se compara la gobernanza de clústeres de Kubernetes Service (EKS) de Amazon Elastic y Azure Kubernetes Service (AKS).

Nota:

Este artículo forma parte de una serie de artículos que ayudan a los profesionales que están familiarizados con Amazon EKS a comprender Azure Kubernetes Service (AKS).

Dimensiones de gobernanza de Kubernetes

Tres aspectos definen una estrategia de gobernanza coherente de Kubernetes:

  • Los objetivos definen los objetivos de la directiva de seguridad y cumplimiento para su estrategia de gobernanza. Por ejemplo, los destinos pueden especificar qué usuarios pueden acceder a un clúster de Kubernetes, un espacio de nombres o una aplicación. O bien, pueden especificar qué registros de contenedor e imágenes se van a usar en qué clústeres. Normalmente, el equipo de operaciones de seguridad establece estos objetivos como el primer paso para definir estrategia de gobernanza de su empresa.

  • Los ámbitos detallan los elementos a los que se aplican las directivas de destino. Los alcances deben cubrir todos los componentes visibles para Kubernetes. Los ámbitos incluyen unidades organizativas como departamentos, equipos y grupos o entornos como nubes, regiones o espacios de nombres.

  • Directivas de políticas utilizan capacidades de Kubernetes para aplicar las reglas objetivo en los ámbitos especificados, lo que ayuda a implementar directivas de gobernanza.

Para más información, consulte Gobernanza de Kubernetes.

Gobernanza en EKS y AKS

  • Los clientes de Amazon Web Services (AWS) suelen usar Kyverno, Gatekeeper u otras soluciones de asociados para definir e implementar una estrategia de gobernanza para sus clústeres de Amazon EKS. El repositorio de GitHub aws-eks-best-practices/policies contiene una colección de directivas de ejemplo para Kyverno y Gatekeeper.

  • Los clientes de Azure también pueden usar Kyverno o Gatekeeper. Para ampliar Gatekeeper para una estrategia de gobernanza de AKS, puede usar el complemento Azure Policy para Kubernetes.

Operador de control

Cloud Native Computing Foundation (CNCF) patrocina la herramienta Gatekeeper de código abierto, que ayuda a aplicar directivas en clústeres de Kubernetes. Gatekeeper es un controlador de admisión de Kubernetes que ayuda a aplicar directivas que se crean con open Policy Agent (OPA), un motor de directivas de uso general.

OPA usa un lenguaje declarativo de alto nivel denominado Rego para crear directivas que pueden ejecutar pods de inquilinos en instancias independientes o en prioridades diferentes. Para obtener una colección de políticas de OPA comunes, consulte la biblioteca OPA Gatekeeper.

Kyverno

CNCF también patrocina el proyecto de código abierto Kyverno , que ayuda a aplicar directivas en clústeres de Kubernetes. Kyverno es un motor de directivas nativo de Kubernetes que puede usar directivas para validar, mutar y generar configuraciones de recursos de Kubernetes.

Use Kyverno para definir y administrar directivas como recursos de Kubernetes sin usar un nuevo lenguaje. Puede administrar directivas mediante herramientas conocidas, como kubectl, git y kustomize.

Kyverno tiene las siguientes características:

  • Usa superposiciones de estilo kustomize para la validación
  • Admite la revisión JSON y la revisión de combinación estratégica para la modificación
  • Clona recursos en espacios de nombres basados en desencadenadores flexibles

Para desplegar políticas individualmente, use los manifiestos YAML de políticas. Para empaquetar e implementar directivas, use gráficos de Helm.

A diferencia de Gatekeeper o Azure Policy para AKS, Kyverno puede usar directivas para generar nuevos objetos de Kubernetes, en lugar de validar o mutar los recursos existentes. Por ejemplo, puede definir una directiva de Kyverno para automatizar la creación de una directiva de red predeterminada para nuevos espacios de nombres.

Opcionalmente, puede implementar la implementación de Kyverno de los estándares de seguridad de pod de Kubernetes como directivas de Kyverno. Los controles estándares de seguridad de pod proporcionan un punto de partida para la seguridad operativa general del clúster de Kubernetes.

Complemento de Azure Policy para AKS

El complemento de Azure Policy para AKS amplía Gatekeeper, que es un webhook de controlador de admisión para OPA. Este complemento aplica medidas de seguridad y cumplimiento a escala en los componentes del clúster de una manera centralizada y coherente. Los componentes del clúster incluyen pods, contenedores y espacios de nombres. Azure Policy proporciona administración y informes de cumplimiento centralizados para varios clústeres de Kubernetes. Esta funcionalidad simplifica la administración y gobernanza de entornos de varios clústeres en comparación con la implementación y administración de Kyverno o Gatekeeper para cada clúster.

El complemento de Azure Policy para AKS realiza las siguientes funciones:

  • Usa Azure Policy para comprobar las asignaciones de directivas al clúster.

  • Implementa definiciones de directiva en el clúster como recursos de plantilla de restricción y recursos personalizados de restricción.

  • Notifica los detalles de auditoría y cumplimiento a Azure Policy.

El complemento de Azure Policy es compatible con los entornos de clúster tanto de AKS como de Kubernetes habilitados para Azure Arc. Para obtener más información, consulte Descripción de Azure Policy para clústeres de Kubernetes.

Para instalar el complemento en clústeres nuevos y existentes, siga las instrucciones de instalación.

Después de instalar el complemento de Azure Policy para AKS, puede aplicar definiciones de directivas individuales o grupos de definiciones de directiva, denominadas iniciativas, al clúster de AKS. Puede aplicar definiciones de iniciativa y directivas integradas de Azure Policy desde el principio. O bien, puede crear y asignar sus propias definiciones de directiva personalizadas mediante los pasos necesarios. Las directivas de seguridad integradas de Azure Policy mejoran la posición de seguridad del clúster de AKS, aplican los estándares de la organización y evalúan el cumplimiento a escala.

Colaboradores

Microsoft mantiene este artículo. Los colaboradores siguientes escribieron este artículo.

Creadores de entidad de seguridad:

Otros colaboradores:

  • Chad Kittel | Ingeniero principal de software: Patrones y prácticas de Azure
  • Ed Price | Responsable sénior de programas de contenido
  • Theano Petersen | Escritor técnico

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes