Comprobación del estado de cumplimiento mediante Azure Policy
En la sección anterior, ha visto cómo se pueden usar las directivas de Azure para controlar fácilmente el clúster mediante una directiva e iniciativa integradas. También se ha observado que la directiva no finaliza los pods ya existentes. Queremos detectar pods no conformes para poder realizar acciones en ellos. En este ejercicio, simplemente realizamos esa acción.
Nota:
Este ejercicio es opcional. Si le interesa completar este ejercicio, deberá crear una suscripción de Azure antes de empezar. Si no tiene una cuenta de Azure o no quiere crear una en este momento, puede leer las instrucciones para comprender la información que se está presentando.
Uso de Azure Portal para ver pods no conformes
Vaya a la página Directiva en Azure Portal.
En la parte superior, puede establecer el ámbito en su grupo de recursos del clúster; para ello, haga clic en la opción ... que aparece. Seleccione la suscripción y el grupo de recursos donde se encuentra el clúster de Azure Kubernetes Service (AKS) y elija Seleccionar en la parte inferior de la página.
Nota
Los pods no compatibles pueden tardar unos minutos en aparecer en el portal.
Aquí se ve que hay recursos no conformes tanto para la directiva como para la iniciativa que se han implementado. Los recursos no son conformes respecto a tres de las directivas de la iniciativa de estándares restringidos de seguridad de pods de clúster de Kubernetes para cargas de trabajo basadas en Linux para la iniciativa videogamerg. Al seleccionar esa iniciativa, se muestra cuál de las tres directivas son las no conformes respecto al total de ocho.
Seleccione la directiva Los contenedores del clúster de Kubernetes solo deben usar imágenes permitidas. Verá el clúster que contiene el pod no conforme.
Seleccione el clúster para obtener más detalles sobre qué pod no es conforme. Aquí aparece el nombre del pod específico que no es conforme. Se ve que únicamente el primer pod implementado no es conforme. Observe que consultar estas páginas de directivas es una forma eficaz de auditar el estado de cumplimiento del clúster.
Eliminación del pod no conforme y nueva comprobación del cumplimiento
Ahora que hemos encontrado el pod no conforme, podemos eliminarlo. Una vez que se elimine el pod, la directiva impide que se implementen pods no conformes en el futuro. La iniciativa Estándares restringidos de seguridad de pods de clúster de Kubernetes para cargas de trabajo basadas en Linux para videogamerg se establece en auditoría, lo que significa que se pueden identificar los pods no conformes, pero no se impediría la implementación de los pods. Conseguir que los pods cumplan con esa iniciativa está fuera del ámbito de este curso, por lo que aquí nos centramos en corregir la directiva establecida para que tenga el efecto de denegación.
Vuelva a abrir Cloud Shell y elimine la implementación no conforme.
kubectl delete deployment simple-nginx
Los cambios pueden tardar hasta 45 minutos en reflejarse en el portal. Después de esperar, vuelva a la directiva para ver si todavía hay pods no compatibles en ella. Observe que ahora el clúster cumple con la directiva.
Resumen
En esta unidad, ha aprendido a usar Azure Portal para identificar pods no conformes con las directivas. Después, ha eliminado un pod no conforme con una de las directivas. También ha aprendido a solucionar problemas de las implementaciones y a identificar los pods que no se implementan debido a una directiva de denegación. Ha aprendido a usar Azure Portal para ver los recursos no conformes y las directivas con las que no son compatibles. Además, ha resuelto uno de los problemas mediante la eliminación del pod no conforme que había creado antes. Ahora que sabe cómo agregar y probar una directiva y una iniciativa, puede examinar las otras directivas integradas para Kubernetes y encontrar las que se adapten a sus necesidades empresariales.