Directivas integradas para AKS
Ahora que ha creado un clúster de Azure Kubernetes Service (AKS) con el complemento de directiva habilitado, tendrá que encontrar las definiciones de directiva que quiere asignar al entorno. En esta sección, aprenderá a detectar directivas y en la siguiente se describirá un ejemplo sobre cómo asignar esas directivas.
Tipos de directivas de Azure para AKS
Hay dos tipos de directivas de Azure que se pueden aplicar a AKS: directivas de clúster o directivas de carga de trabajo.
Las directivas de clúster abarcan el propio clúster, no la carga de trabajo que se ejecuta en el clúster. Tendría que configurar estas directivas para aplicar la configuración del clúster. Algunos ejemplos de estas directivas son Los intervalos IP autorizados se deben definir en Kubernetes Services y El control de acceso basado en rol(RBAC) se debe usar en Kubernetes Services.
Las directivas de carga de trabajo abarcan las aplicaciones que se ejecutan en el clúster. Las directivas de carga de trabajo se usan para aplicar la configuración dentro del clúster de Kubernetes. Estas directivas se basan en el complemento Azure Policy for Kubernetes para funcionar correctamente. Algunos ejemplos de estas directivas son Los contenedores de clústeres de Kubernetes solo deben usar imágenes permitidas y Los pods de clústeres de Kubernetes solo deben usar tipos de volumen permitidos.
Resulta útil pensar en las directivas de Azure para Kubernetes de esta manera. Permiten distinguir entre las directivas que afectan al clúster y la aplicación que se ejecuta en el clúster. Merece la pena indicar que estos distintos tipos de directivas no se distinguen durante la detección de directivas.
Descubrimiento de directivas de Azure integradas para Kubernetes
Hay dos maneras de detectar directivas de Azure integradas para Kubernetes:
- Mediante la documentación de Azure, en la que se detallan las directivas integradas.
- Mediante el panel Directiva de Azure de Azure Portal, vaya a definiciones y filtre por la categoría Kubernetes.
Puede asignar una o varias de estas definiciones de directiva a los grupos de administración, suscripciones o grupos de recursos. En la unidad siguiente, seguirá un ejercicio en el que se explicará cómo hacerlo.
Iniciativa de directiva: Estándares de referencia de seguridad de pods de clúster de Kubernetes para cargas de trabajo basadas en Linux
Azure Policy para Kubernetes también tiene varias iniciativas de directiva. Una iniciativa de directiva es una colección de definiciones de directiva. Dos de las iniciativas de Kubernetes son las siguientes:
- Estándares de referencia de seguridad de pods de clúster de Kubernetes para cargas de trabajo basadas en Linux
- Estándares restringidos de seguridad de pods de clúster de Kubernetes para cargas de trabajo basadas en Linux
La versión de base de referencia incluye cinco definiciones de directiva centradas en proporcionar una base de referencia de seguridad para las cargas de trabajo de Kubernetes. La versión restringida incluye un total de ocho definiciones de directiva para entornos con más restricciones de seguridad.
Puede asignar estas iniciativas a los grupos de administración de Azure, las suscripciones o los grupos de recursos con un clúster de AKS para aplicar una línea de base de seguridad coherente.