Gérer Kubernetes avec Azure Arc en utilisant Azure Policy et Azure Monitor
Azure Arc centralise et simplifie la gestion en activant une gamme de services Azure, tels qu’Azure Policy et Azure Monitor.
Dans cette unité, vous allez découvrir comment utiliser ces services pour gérer et surveiller les clusters Kubernetes avec Azure Arc.
Azure Policy
Azure Policy utilise des règles déclaratives basées sur les propriétés des types de ressources cibles, notamment les clusters Kubernetes et leurs composants. Ces règles forment des définitions de stratégie, que les administrateurs peuvent appliquer via l’attribution de stratégie aux groupes de ressources, aux abonnements ou aux groupes d’administration.
Azure Policy pour Kubernetes
Avec Azure Policy pour Kubernetes, les entreprises peuvent appliquer des règles de gouvernance uniformes sur tous leurs clusters Kubernetes avec Azure Arc pour détecter toute non-conformité avec les normes organisationnelles.
L’extension Azure Policy pour Kubernetes avec Arc effectue les actions suivantes :
- Il vérifie régulièrement les affectations Azure Policy qui ciblent le cluster Kubernetes hébergeant les pods de contrôleur d’admission.
- Il déploie les définitions de stratégie dans le cluster en tant que ressources personnalisées qui appliquent les contraintes, que les pods de contrôleur d’admission appliquent.
- Signale les données d’audit et de conformité à Azure Policy. Vous pouvez donc passer en revue l’état via le portail Azure comme pour d’autres ressources avec Azure ou Azure Arc.
Définitions de stratégie intégrées pour Kubernetes avec Arc
Azure Policy offre de nombreuses définitions intégrées pour Kubernetes avec Azure Arc, notamment les définitions de stratégie couramment utilisées suivantes :
| Nom de stratégie | Description de la politique |
|---|---|
| Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés | Empêche la création de conteneurs privilégiés dans un cluster. |
| Les clusters Kubernetes doivent être accessibles uniquement via HTTPS | Garantit que HTTPS est utilisé pour les connexions d’entrée. |
| Les services de cluster Kubernetes doivent utiliser uniquement les adresses IP externes autorisées | Garantit que seules les adresses IP externes autorisées sont utilisées. |
| Les limites de ressources processeur et mémoire des conteneurs de cluster Kubernetes ne doivent pas dépasser les limites spécifiées | Applique les limites de ressources processeur et mémoire du conteneur. |
| Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Garantit que les services écoutent seulement sur les ports autorisés. |
| Les conteneurs de cluster Kubernetes doivent uniquement utiliser des images autorisées | Limite les images qui peuvent être utilisées pour déployer des conteneurs sur uniquement des images provenant de registres approuvés. |
| Les conteneurs de cluster Kubernetes ne doivent utiliser que les fonctionnalités autorisées | Limite les fonctionnalités pour réduire la surface d’attaque des conteneurs. |
| Les pods de cluster Kubernetes doivent utiliser uniquement le réseau hôte et la plage de ports approuvés | Limite l’accès des pods au réseau hôte et à la plage de ports hôte autorisée dans un cluster. |
De nombreuses définitions de stratégie intégrées sont disponibles. Pour afficher toutes les définitions de stratégie, recherchez et sélectionnez Stratégie dans le portail Azure, sélectionnez Définitions dans le menu de gauche, puis sélectionnez Kubernetes dans la liste déroulante Catégorie .
Implémenter Azure Policy pour Kubernetes
Pour implémenter Azure Policy pour Kubernetes sur des clusters connectés, vous devez installer l’extension Azure Policy. Pour Kubernetes avec Azure Arc, le processus se compose des étapes générales suivantes.
- Connectez-vous au locataire Microsoft Entra avec un compte qui dispose des autorisations nécessaires pour gérer la ressource Kubernetes avec Arc.
- Créez une instance d’extension Azure Policy sur le cluster.
- Créez une attribution de stratégie à l’aide de l’une des définitions de stratégie propres à Kubernetes.
Une fois l’attribution de stratégie créée, Azure Policy commence à vérifier la conformité.
Azure Monitor
Azure Monitor étend une fonctionnalité complète de gestion basée sur le cloud au-delà d’Azure aux centres de données locaux et aux fournisseurs de cloud non-Microsoft. Monitor collecte et surveille les métriques, les journaux d'activité et de diagnostic, et les événements des services Azure, des ressources habilitées par Arc, des datacenters sur site, et des ressources cloud de tiers.
Les fonctionnalités de l’interface Azure Monitor sont les suivantes :
- Tableaux de bord et classeurs.
- Analyse des métriques avec des outils tels que Metrics Explorer ou Power BI.
- Groupes d’actions courants qui désignent les actions déclenchées par l’alerte et les destinataires d’alerte.
Azure Monitor Container Insights
Azure Monitor Container Insights fournit un aperçu complet de l’état de l’environnement Kubernetes, ce qui permet de maintenir la stabilité opérationnelle et la continuité de l’activité. Les métriques sont collectées sur les contrôleurs, les nœuds et les conteneurs dans les environnements Kubernetes, notamment Kubernetes avec Azure Arc.
Container Insights fournit les fonctionnalités suivantes :
- Identifiez les conteneurs s’exécutant sur chaque nœud de cluster et leur utilisation moyenne du processeur et de la mémoire, afin de détecter les goulots d’étranglement des ressources.
- Identifier les conteneurs exécutés dans des pods individuels afin de vous aider à suivre les performances globales du pod.
- Évaluer l’utilisation des ressources des charges de travail exécutées sur l’hôte qui ne sont pas liées aux processus standard prenant en charge le pod.
- Comparez le comportement du cluster sous la moyenne et les charges les plus lourdes, afin d’évaluer les besoins de capacité et d’estimer la charge maximale que le cluster peut supporter.
- Configurez des alertes pour vous avertir proactivement lorsque l'utilisation des ressources dépasse les seuils acceptables ou lorsque l'état de santé change dans le cluster.
Surveiller les clusters Kubernetes avec Azure Arc
Azure Monitor Container Insights s’appuie sur une version conteneurisée d’Azure Monitor Agent pour Linux. Cet agent s’exécute dans le cluster supervisé pour collecter les journaux et métriques de performances des conteneurs et des nœuds de cluster. L’agent interagit directement avec l’API Kubernetes Metrics et charge les données collectées dans Azure.
Le processus d’implémentation d’Azure Monitor Container Insights pour les déploiements Kubernetes avec Azure Arc se compose des étapes générales suivantes.
- Connectez-vous au locataire Microsoft Entra avec un compte qui dispose des autorisations nécessaires pour gérer la ressource Kubernetes avec Arc.
- Identifiez l’ID d’espace de travail de l’espace de travail Log Analytics que vous souhaitez utiliser.
- Créez une instance d’extension Azure Monitor Container Insights sur le cluster à l’aide de l’ID d’espace de travail Log Analytics.