Appliquer des configurations Flux v1 à grande échelle à l’aide d’Azure Policy

Vous pouvez utiliser Azure Policy pour appliquer des configurations Flux v1 (type de ressource Microsoft.KubernetesConfiguration/sourceControlConfigurations) à grande échelle sur des clusters Kubernetes avec Azure Arc (Microsoft.Kubernetes/connectedclusters).

Important

Cet article est destiné à GitOps avec Flux v1. GitOps avec Flux v2 est désormais disponible pour les clusters AKS (Azure Kubernetes Service) et Kubernetes avec Azure Arc. Découvrez comment utiliser Azure Policy avec Flux v2. Nous vous recommandons d’effectuer une migration vers Flux v2 dès que possible.

La prise en charge des ressources de configuration du cluster basées sur Flux v1, créées avant le 1er janvier 2024, s’achève le 24 mai 2025. À compter du 1er janvier 2024, vous ne pouvez plus créer de ressources de configuration de cluster basées sur Flux v1.

Pour utiliser Azure Policy, sélectionnez une définition de stratégie GitOps intégrée et créez une attribution de stratégie. Lors de la création de l’attribution de stratégie :

1. Définissez l’étendue de l’attribution.
   • L’étendue sera tous les groupes de ressources d’un abonnement ou un groupe d’administration ou des groupes de ressources spécifiques.
2. Définissez les paramètres de la configuration GitOps à créer.

Une fois l’affectation créée, le moteur Azure Policy identifie tous les clusters Kubernetes avec Azure Arc situés dans l’étendue et applique la configuration GitOps à chaque cluster.

Pour permettre la séparation des préoccupations, vous pouvez créer plusieurs attributions de stratégies, chacune avec une configuration GitOps différente qui pointe vers un autre référentiel git. Par exemple, un référentiel peut être utilisé par les administrateurs de cluster et d’autres dépôts peuvent être utilisés par les équipes d’application.

Conseil

Il existe des définitions de stratégie intégrées pour ces scénarios :

• Référentiel public ou référentiel privé avec les clés SSH créées par Flux : Configure Kubernetes clusters with specified GitOps configuration using no secrets
• Référentiel privé avec les clés SSH fournies par l’utilisateur : Configure Kubernetes clusters with specified GitOps configuration using SSH secrets
• Référentiel privé avec les clés HTTPS fournies par l’utilisateur : Configure Kubernetes clusters with specified GitOps configuration using HTTPS secrets

Prérequis

Vérifiez que vous disposez d’autorisations Microsoft.Authorization/policyAssignments/write sur l’étendue (abonnement ou groupe de ressources) où vous allez créer cette affectation de stratégie.

Créer une affectation de stratégie

1. Dans le portail Azure, accédez à Stratégie.
2. Dans la section Création de la barre latérale, sélectionnez Définitions.
3. Dans la catégorie « Kubernetes », choisissez la définition de stratégie intégrée « Configurer des clusters Kubernetes avec la configuration GitOps spécifiée sans secret ».
4. Sélectionnez Affecter.
5. Définissez Portée sur le groupe d’administration, l’abonnement ou le groupe de ressources auquel s’appliquera l’attribution de stratégie.
   • Si vous souhaitez exclure des ressources de la portée d’attribution de la stratégie, définissez Exclusions.
6. Donnez à l’attribution de stratégie un Nom et une Description facilement identifiables.
7. Assurez-vous que l’option Application de la stratégie est définie sur Activée.
8. Cliquez sur Suivant.
9. Définissez les valeurs de paramètre à utiliser lors de la création de la ressource sourceControlConfigurations.
   • Pour plus d’informations sur les paramètres, consultez le didacticiel sur le déploiement des configurations GitOps.
10. Cliquez sur Suivant.
11. Activez l’option Créer une tâche de correction.
12. Vérifiez que l’option Créer une identité managée est activée et que l’identité aura des autorisations de Contributeur.
    • Pour plus d’informations, consultez le Démarrage rapide Créer une attribution de stratégie et l’article Corriger les ressources non conformes avec Azure Policy.
13. Sélectionnez Revoir + créer.

Une fois l’affectation de stratégie créée, la configuration est appliquée aux nouveaux clusters Kubernetes avec Azure Arc créés dans l’étendue de l’affectation de stratégie.

Pour les clusters existants, vous devez exécuter manuellement une tâche de correction. Cette tâche nécessite généralement 10 à 20 minutes pour que l’attribution de stratégie prenne effet.

Vérifier une attribution de stratégie

1. Dans le portail Azure, accédez à l’un de vos clusters Kubernetes avec Azure Arc.
2. Dans la section Paramètres de la barre latérale, sélectionnez Stratégies.
   • Dans la liste, vous devriez voir l’attribution de stratégie que vous avez créée ci-dessus, et l’État de conformité devrait être Conforme.
3. Dans la section Paramètres de la barre latérale, sélectionnez GitOps.
   • Dans la liste des configurations, vous devez voir la configuration créée par l’affectation de stratégie.
4. Dans la section Ressources Kubernetes de la barre latérale, sélectionnez Espaces de noms et Charges de travail.
   • Vous voyez normalement l’espace de noms et les artefacts qui ont été créés par la configuration Flux.
   • Vous voyez aussi les objets décrits par les manifestes dans le dépôt Git déployé sur le cluster.

Étapes suivantes

Configurer Azure Monitor pour des conteneurs incluant des clusters Kubernetes avec Azure Arc.