Compartir a través de


Gobernanza de clústeres de Kubernetes

La gobernanza hace referencia a la capacidad de una organización de aplicar y validar reglas para garantizar el cumplimiento de los estándares corporativos. La gobernanza ayuda a las organizaciones a mitigar los riesgos, cumplir con los estándares corporativos y las regulaciones externas, y minimizar la interrupción de la adopción o la innovación.

La gobernanza incluye iniciativas de planificación, establecimiento de prioridades estratégicas y uso de mecanismos y procesos para controlar las aplicaciones y los recursos. En el caso de los clústeres de Kubernetes en un entorno de nube, la gobernanza significa implementar directivas en clústeres de Kubernetes y en las aplicaciones que se ejecutan en esos clústeres.

La gobernanza de Kubernetes incluye tanto el entorno en la nube como la infraestructura de implementación de clústeres, así como los propios clústeres y sus aplicaciones. Esta guía se centra en la gobernanza en los clústeres de Kubernetes. En este artículo se describe y compara cómo Amazon Elastic Kubernetes Service (Amazon EKS) y Azure Kubernetes Service (AKS) administran la gobernanza de clúster de Kubernetes.

Nota:

Este artículo forma parte de una serie de artículos que ayudan a los profesionales que están familiarizados con Amazon EKS a comprender Azure Kubernetes Service (AKS).

Dimensiones de gobernanza de Kubernetes

Tres dimensiones definen una estrategia de gobernanza coherente de Kubernetes:

  • Los destinos describen los objetivos de la directiva de cumplimiento y seguridad que debe cumplir una estrategia de gobernanza. Por ejemplo, los destinos especifican qué usuarios pueden acceder a un clúster de Kubernetes, un espacio de nombres o una aplicación, o a qué registros de contenedor e imágenes se van a usar en qué clústeres. Normalmente, el equipo de operaciones de seguridad establece estos destinos como primer paso para definir la estrategia de gobernanza de una empresa.

  • Los ámbitos detallan los elementos a los que se aplican las directivas de destino. Los ámbitos deben abordar todos los componentes visibles para Kubernetes. Los ámbitos pueden ser unidades organizativas como departamentos, equipos y grupos, o entornos como nubes, regiones o espacios de nombres, o ambos.

  • Las directivas de directiva usan funcionalidades de Kubernetes para aplicar las reglas de destino en los ámbitos especificados para aplicar las directivas de gobernanza.

Para más información, consulte Gobernanza de Kubernetes, lo que debe saber.

Gobernanza en EKS y AKS

  • Los clientes de Amazon Web Services (AWS) suelen usar Kyverno, Gatekeeper u otras soluciones de terceros para definir e implementar una estrategia de gobernanza para sus clústeres de Amazon EKS. El repositorio de GitHub aws-eks-best-practices/policies contiene una colección de directivas de ejemplo para Kyverno y Gatekeeper.

  • Los clientes de Azure también pueden usar Kyverno o Gatekeeper y pueden usar el complemento de Azure Policy para Kubernetes para ampliar Gatekeeper para una estrategia de gobernanza de AKS.

Operador de control

Cloud Native Computing Foundation (CNCF) patrocina el controlador de directivas Gatekeeper de código abierto para Kubernetes para aplicar directivas en clústeres de Kubernetes. Gatekeeper es un controlador de admisión de Kubernetes que aplica las directivas creadas con Open Policy Agent (OPA), un motor de directivas de uso general.

OPA usa un lenguaje declarativo de alto nivel denominado Rego para crear directivas que pueden ejecutar pods de inquilinos en instancias independientes o en prioridades diferentes. Para obtener una colección de directivas de OPA comunes, consulte la biblioteca de OPA Gatekeeper.

Kyverno

CNCF también patrocina el proyecto de código abierto Kyverno para aplicar directivas en clústeres de Kubernetes. Kyverno es un motor de directivas nativo de Kubernetes que puede validar, mutar y generar configuraciones de recursos de Kubernetes con directivas.

Con Kyverno, puede definir y administrar directivas como recursos de Kubernetes sin usar un nuevo lenguaje. Este enfoque permite usar herramientas conocidas como kubectl, git y kustomize para administrar directivas.

Kyverno usa superposiciones de estilo kustomize para la validación, admite la revisión JSON y la revisión de combinación estratégica para la mutación y puede clonar recursos entre espacios de nombres basados en desencadenadores flexibles. Puede implementar directivas individualmente mediante sus manifiestos de YAML o empaquetarlos e implementarlos mediante gráficos de Helm.

Kyverno, a diferencia de Gatekeeper o Azure Policy para AKS, puede generar nuevos objetos de Kubernetes con directivas, no solo validar o mutar los recursos existentes. Por ejemplo, puede definir una directiva de Kyverno para automatizar la creación de una directiva de red predeterminada para cualquier nuevo espacio de nombres.

Para más información, consulte la guía oficial de instalación de Kyverno. Para obtener una lista de directivas listas para usar o personalizables, consulte la biblioteca de directivas de Kyverno. Para la referencia de solución de problemas (por ejemplo, APIServer con errores de llamadas de webhook), consulte la Documentación de solución de problemas de Kyverno.

Opcionalmente, puede implementar la implementación de Kyverno de los estándares de seguridad de pod de Kubernetes (PSS) como directivas de Kyverno. Los controles de PSS proporcionan un punto de partida para la seguridad operativa general del clúster de Kubernetes.

Complemento de Azure Policy para AKS

El complemento de Azure Policy para AKS amplía Gatekeeper para aplicar medidas de seguridad y cumplimiento a escala en clústeres de AKS de una manera centralizada y coherente. Azure Policy permite la administración y los informes de cumplimiento centralizados para varios clústeres de Kubernetes desde una sola ubicación. Esta funcionalidad hace que la administración y la gobernanza de entornos multiclúster sean más eficaces que la implementación y administración de Kyverno o Gatekeeper para cada clúster.

El complemento de Azure Policy para AKS cumple las siguientes funciones:

  • Comprueba con el servicio Azure Policy las asignaciones de directivas al clúster.
  • Implementa definiciones de directiva en el clúster como recursos de plantilla de restricción y restricción.
  • Realiza informes de auditoría y cumplimiento y los devuelve al servicio Azure Policy.

El complemento de Azure Policy admite los entornos de clúster de AKS y Kubernetes habilitado para Azure Arc. Para obtener más información, consulte Descripción de Azure Policy para clústeres de Kubernetes. Para instalar el complemento en clústeres nuevos y existentes, consulte Instalación del complemento de Azure Policy para AKS.

Después de instalar el complemento de Azure Policy para AKS, puede aplicar a su clúster definiciones de políticas individuales o grupos de definiciones de políticas denominadas iniciativas para su clúster de AKS. Puede aplicar definiciones de iniciativa y directiva integradas de Azure Policy desde el principio, o bien crear y asignar sus propias definiciones de directiva personalizadas. Las directivas de seguridad integradas de Azure Policy ayudan a mejorar la posición de seguridad del clúster de AKS, aplicar estándares organizativos y evaluar el cumplimiento a escala.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Creadores de entidad de seguridad:

Otros colaboradores:

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes