Kubernetes-fürtszabályozás
Az irányítás azt jelenti, hogy a szervezet képes a szabályok betartatására és érvényesítésére a vállalati szabványoknak való megfelelés biztosítása érdekében. Az irányítás segít a szervezeteknek a kockázatok csökkentésében, a vállalati szabványoknak és a külső szabályozásoknak való megfelelésben, valamint a bevezetés vagy az innováció megszakításának minimalizálásában.
Az irányítás magában foglalja a tervezési kezdeményezéseket, a stratégiai prioritások meghatározását, valamint az alkalmazások és erőforrások szabályozására szolgáló mechanizmusok és folyamatok használatát. A felhőkörnyezetben lévő Kubernetes-fürtök esetében a szabályozás azt jelenti, hogy szabályzatokat implementálnak a Kubernetes-fürtökben és az ezekben a fürtökben futó alkalmazásokban.
A Kubernetes-szabályozás magában foglalja a felhőkörnyezetet és a fürt üzembehelyezési infrastruktúráját, valamint magukat a fürtöket és alkalmazásaikat. Ez az útmutató a Kubernetes-fürtökön belüli irányításra összpontosít. A cikk leírja és összehasonlítja, hogyan kezeli az Amazon Elastic Kubernetes Service (Amazon EKS) és az Azure Kubernetes Service (AKS) a Kubernetes-fürtszabályozást.
Megjegyzés:
Ez a cikk egy cikksorozat része, amely segít az Amazon EKS-t ismerő szakembereknek az AKS megértésében.
A Kubernetes szabályozási dimenziói
Három dimenzió határoz meg egy konzisztens Kubernetes-szabályozási stratégiát:
A célok azokat a biztonsági és megfelelőségi szakpolitikai célokat írják le, amelynek a szabályozási stratégiának meg kell felelnie. A célok például meghatározzák, hogy mely felhasználók férhetnek hozzá Egy Kubernetes-fürthöz, névtérhez vagy alkalmazáshoz, vagy hogy mely tárolóregisztrációs adatbázisokat és rendszerképeket használják a fürtök. A biztonsági üzemeltetési csapat általában ezeket a célokat állítja be a vállalat irányítási stratégiájának meghatározásának első lépéseként.
A hatókörök részletesen ismertetik azokat az elemeket, amelyekre a célszabályzatok vonatkoznak. A hatóköröknek az összes Kubernetes-látható összetevőt meg kell jelenniük. A hatókörök lehetnek szervezeti egységek, például részlegek, csapatok és csoportok, vagy olyan környezetek, mint a felhők, régiók vagy névterek, vagy mindkettő.
A szabályzatirányelvek a Kubernetes képességeivel kényszerítik ki a célszabályokat a megadott hatókörökben az irányítási szabályzatok érvényre juttatásához.
További információ: Kubernetes-szabályozás, amit tudnia kell.
Irányítás az EKS-ben és az AKS-ben
Az Amazon Web Services (AWS) ügyfelei általában Kyverno, Gatekeeper vagy más külső megoldásokat használnak az Amazon EKS-fürtök szabályozási stratégiájának meghatározásához és implementálásához. Az aws-eks-best-practices /policies GitHub-adattár a Kyverno és a Gatekeeper példaszabályzatainak gyűjteményét tartalmazza.
Az Azure-ügyfelek használhatják a Kyverno-t vagy a Gatekeepert is, és az Azure Policy for Kubernetes bővítmény használatával kiterjeszthetik a Gatekeepert az AKS szabályozási stratégiájához.
Gatekeeper
A Cloud Native Computing Foundation (CNCF) a Kuberneteshez készült nyílt forráskódú Gatekeeper Policy Controllert támogatja a Kubernetes-fürtök házirendjeinek kikényszerítéséhez. A Gatekeeper egy Kubernetes-beléptető vezérlő, amely az Open Policy Agent (OPA) általános célú szabályzatmotorjával létrehozott szabályzatokat kényszeríti ki.
Az OPA egy Rego nevű magas szintű deklaratív nyelvet használ olyan szabályzatok létrehozásához, amelyek podokat futtathatnak a bérlőkről külön példányokon vagy különböző prioritásokon. A gyakori OPA-szabályzatok gyűjteményét az OPA Gatekeeper-kódtárban tekinti meg.
Kyverno
A CNCF a Kyverno nyílt forráskódú projektet is támogatja a kubernetes-fürtökben lévő szabályzatok kikényszerítéséhez. A Kyverno egy Kubernetes-natív házirendmotor, amely érvényesítheti, mutálhatja és létrehozhatja a Kubernetes-erőforráskonfigurációkat szabályzatokkal.
A Kyverno segítségével új nyelv használata nélkül definiálhat és kezelhet szabályzatokat Kubernetes-erőforrásokként. Ez a megközelítés lehetővé teszi az olyan ismerős eszközök használatát, mint a kubectl, a git és a kustomize a szabályzatok kezeléséhez.
A Kyverno -style átfedéseket használ kustomizeaz ellenőrzéshez, támogatja a JSON-javítást és a stratégiai egyesítési javítást a mutációhoz, és rugalmas triggerek alapján klónozhatja az erőforrásokat a névterek között. A szabályzatokat egyenként is üzembe helyezheti a YAML-jegyzékek használatával, vagy a Helm-diagramok használatával csomagolhatja és helyezheti üzembe őket.
A Kyverno a Gatekeeperrel vagy az Azure Policy for AKS-sel ellentétben új Kubernetes-objektumokat hozhat létre szabályzatokkal, és nem csak a meglévő erőforrásokat érvényesítheti vagy mutálhatja. Megadhat például egy Kyverno-szabályzatot, amely automatizálja az alapértelmezett hálózati szabályzat létrehozását minden új névtérhez.
További információkért lásd a kyvernoi telepítési útmutatót. A használatra kész vagy testreszabható szabályzatok listáját a Kyverno Szabályzatok könyvtárában találja. Hibaelhárítási referencia (pl. APIServer sikertelen webhookhívások), tekintse meg a Kyverno hibaelhárítási dokumentációját.
Igény szerint Kyverno-szabályzatokként telepítheti a Kubernetes Pod Biztonsági Szabványok (PSS) Kyverno-implementációját. A PSS-vezérlők kiindulópontként szolgálnak a Kubernetes-fürt általános működési biztonságához.
Azure Policy-bővítmény az AKS-hez
Az AKS-hez készült Azure Policy-bővítmény kibővíti a Gatekeepert , hogy központosított, konzisztens módon alkalmazza az AKS-fürtökre vonatkozó helyszíni kényszerítéseket és biztosítékokat. Az Azure Policy lehetővé teszi több Kubernetes-fürt központosított megfelelőségi felügyeletét és jelentéskészítését egyetlen helyről. Ez a képesség hatékonyabbá teszi a többhelyes környezetek felügyeletét és irányítását, mint a Kyverno vagy a Gatekeeper üzembe helyezése és kezelése minden fürt esetében.
Az AKS-hez készült Azure Policy-bővítmény a következő funkciókat hajtja végre:
- Az Azure Policy szolgáltatással ellenőrzi a fürthöz való szabályzat-hozzárendeléseket.
- Szabályzatdefiníciókat helyez üzembe a fürtben kényszersablonként és egyéni erőforrások kényszerítéseként.
- A naplózási és megfelelőségi adatokat az Azure Policy szolgáltatásnak adja vissza.
Az Azure Policy bővítmény támogatja az AKS-t és az Azure Arc-kompatibilis Kubernetes-fürtkörnyezeteket. További információ: Az Azure Policy for Kubernetes-fürtök ismertetése. A bővítmény új és meglévő fürtökre való telepítéséhez tekintse meg az AKS-hez készült Azure Policy-bővítmény telepítését.
Az AKS-hez készült Azure Policy-bővítmény telepítése után egyéni szabályzatdefiníciókat vagy kezdeményezésnek nevezett szabályzatdefiníciókat alkalmazhat az AKS-fürtön. Az Azure Policy beépített szabályzat- és kezdeményezésdefinícióit már a kezdettől alkalmazhatja és kényszerítheti, vagy létrehozhatja és hozzárendelheti saját egyéni szabályzatdefinícióit. Az Azure Policy beépített biztonsági szabályzatai segítenek az AKS-fürt biztonsági helyzetének javításában, a szervezeti szabványok kikényszerítésében és a megfelelőség méretezésében.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerzők:
- Martin Gjoshevski | Vezető szervizmérnök
- Paolo Salvatori | Főszolgáltatás-mérnök
Egyéb közreműködők:
- Chad Kittel | Fő szoftvermérnök
- Ed Price | Vezető tartalomprogram-kezelő
- Theano Petersen | Műszaki író
A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.
További lépések
- AKS Amazon EKS-szakembereknek
- Kubernetes-identitás- és hozzáférés-kezelés
- Kubernetes monitorozása és naplózása
- Biztonságos hálózati hozzáférés a Kuberneteshez
- Kubernetes-fürt tárolási beállításai
- A Kubernetes költségkezelése
- Kubernetes-csomópont és csomópontkészlet kezelése
Kapcsolódó erőforrások
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: