Lue englanniksi

Azure Policy for Kubernetes -klustereiden ymmärtäminen

100 XP
  • 5 minuuttia

Azure Policy laajentaa Gatekeeper v3:a, joka on käyttöoikeusrekisterinpitäjän webhook- Open Policy Agentille (OPA), jotta voit soveltaa klustereissasi laajamittaisia pakottamisia ja suojauksia keskitetysti ja johdonmukaisesti. Azure Policy mahdollistaa Kubernetes-klustereiden yhteensopivuustilan hallinnan ja raportoimisen niistä yhdestä paikasta. Lisäosa ottaa käyttöön seuraavat funktiot:

  • Tarkistaa Azure Policy -palvelulta klusterin käytäntömääritykset.
  • Ottaa käytäntömääritykset käyttöön klusterissa rajoitteena mallipohjalle ja mukautetun resurssin rajoitetta.
  • Raportoi valvonnan ja vaatimustenmukaisuuden tiedot takaisin Azure-käytäntöpalveluun.

Yleiskatsaus

Jos haluat ottaa Azure Policyn käyttöön ja käyttää sitä Kubernetes-klusterissasi, toimi seuraavasti:

  1. Määritä Kubernetes-klusteri ja asenna Azuren Kubernetes-palvelun lisäosa.
  2. Azure-käytännön kielen ymmärtäminen Azure Kubernetes -palvelun Kubernetes-palvelussa.
  3. Määritä määritys Azuren Kubernetes-palvelun klusterille.
  4. Odota vahvistusta.

Suosituksia

Seuraavassa on yleisiä suosituksia Azure-käytäntölisäosan käyttämiseksi:

  • Azure Policy -lisäosa edellyttää kolmen Gatekeeper-komponentin suorittamista: yhden valvontakapselin ja kaksi webhook-pod-kopiota. Nämä osat kuluttavat enemmän resursseja, kun Kubernetes-resurssien ja käytäntötehtävien määrä kasvaa klusterissa, mikä edellyttää valvonta- ja täytäntöönpanotoimintoja.

    • Alle 500 podia yhdessä klusterissa, joissa on enintään 20 rajoitusta: kaksi vCP:tä ja 350 Mt muistia komponenttia kohden.
    • Yli 500 palkoa yhdessä klusterissa, joissa on enintään 40 rajoitusta: kolme vCP-yksikköä ja 600 Mt muistia komponenttia kohden.

Seuraava suositus koskee vain Azuren Azuren Azure-palvelun ja Azure-käytännön lisäosaa:

  • Käytä järjestelmäsolmuvarantoa CriticalAddonsOnly taint-komennon kanssa Gatekeeper-palkoiden ajoittamiseen.
  • Suojaa lähtevä liikenne AKS-klustereistasi.
  • Jos klusterissa on käytössä aad-pod-identity, Node Managed Identity (NMI) -palkot muokkaavat solmujen ip-taulukoita azure-esiintymän metatietojen päätepisteen kutsujen sieppaamiseksi.

Seuraava oppitunti: Try-This harjoitus – Ota Azure-käytännön lisääminen käyttöön Azure Kubernetes -palvelussa

Edellinen Seuraava