Tata kelola kluster Kubernetes
Tata kelola mengacu pada kemampuan organisasi untuk menegakkan dan memvalidasi aturan untuk menjamin kepatuhan terhadap standar perusahaan. Tata kelola membantu organisasi mengurangi risiko, mematuhi standar perusahaan dan peraturan eksternal, dan meminimalkan gangguan pada adopsi atau inovasi.
Tata kelola mencakup inisiatif perencanaan, menetapkan prioritas strategis, dan menggunakan mekanisme dan proses untuk mengontrol aplikasi dan sumber daya. Untuk kluster Kubernetes di lingkungan cloud, tata kelola berarti menerapkan kebijakan di seluruh kluster Kubernetes dan aplikasi yang berjalan di kluster tersebut.
Tata kelola Kubernetes mencakup lingkungan cloud dan infrastruktur penyebaran kluster, dan kluster itu sendiri dan aplikasinya. Panduan ini berfokus pada tata kelola dalam kluster Kubernetes. Artikel ini menjelaskan dan membandingkan bagaimana Amazon Elastic Kubernetes Service (Amazon EKS) dan Azure Kubernetes Service (AKS) mengelola tata kelola kluster Kubernetes.
Catatan
Artikel ini adalah bagian dari serangkaian artikel yang membantu para profesional yang terbiasa dengan Amazon EKS untuk memahami AKS.
Dimensi tata kelola Kubernetes
Tiga dimensi mendefinisikan strategi tata kelola Kube yang konsisten:
Target menjelaskan tujuan kebijakan keamanan dan kepatuhan yang harus dipenuhi oleh strategi tata kelola. Misalnya, target menentukan pengguna mana yang dapat mengakses kluster, namespace layanan, atau aplikasi Kubernetes, atau registri dan gambar kontainer mana yang akan digunakan di kluster mana. Tim operasi keamanan biasanya menetapkan target ini sebagai langkah pertama dalam menentukan strategi tata kelola perusahaan.
Cakupan merinci elemen yang diterapkan kebijakan target. Cakupan harus mengatasi semua komponen yang terlihat Kubernetes. Cakupan dapat berupa unit organisasi seperti departemen, tim, dan grup, atau lingkungan seperti cloud, wilayah, atau namespace layanan, atau keduanya.
Arahan kebijakan menggunakan kemampuan Kubernetes untuk menegakkan aturan target di seluruh cakupan yang ditentukan untuk menegakkan kebijakan tata kelola.
Untuk informasi selengkapnya, lihat Tata kelola Kubernetes, apa yang harus Anda ketahui.
Tata kelola di EKS dan AKS
Pelanggan Amazon Web Services (AWS) biasanya menggunakan Kyverno, Gatekeeper, atau solusi pihak ketiga lainnya untuk menentukan dan menerapkan strategi tata kelola untuk kluster Amazon EKS mereka. Repositori GitHub aws-eks-best-practices/policies berisi kumpulan contoh kebijakan untuk Kyverno dan Gatekeeper.
Pelanggan Azure juga dapat menggunakan Kyverno atau Gatekeeper, dan dapat menggunakan Azure Policy untuk Add-on Kubernetes untuk memperluas Gatekeeper untuk strategi tata kelola AKS.
Gatekeeper
Cloud Native Computing Foundation (CNCF) mensponsori Pengontrol Kebijakan Gatekeeper sumber terbuka untuk Kubernetes untuk menegakkan kebijakan di kluster Kubernetes. Gatekeeper adalah pengontrol penerimaan Kubernetes yang memberlakukan kebijakan yang dibuat dengan Open Policy Agent (OPA), mesin kebijakan tujuan umum.
OPA menggunakan bahasa deklaratif tingkat tinggi yang disebut Rego untuk membuat kebijakan yang dapat menjalankan pod dari penyewa pada instans terpisah atau pada prioritas yang berbeda. Untuk kumpulan kebijakan OPA umum, lihat Pustaka Penjaga Gerbang OPA.
Kyverno
CNCF juga mensponsori proyek sumber terbuka Kyverno untuk memberlakukan kebijakan di kluster Kubernetes. Kyverno adalah mesin kebijakan asli Kubernetes yang dapat memvalidasi, membuat mutasi, dan menghasilkan konfigurasi sumber daya Kubernetes dengan kebijakan.
Dengan Kyverno, Anda dapat menentukan dan mengelola kebijakan sebagai sumber daya Kubernetes tanpa menggunakan bahasa baru. Pendekatan ini memungkinkan penggunaan alat yang sudah dikenal seperti kubectl, git, dan kustomisasi untuk mengelola kebijakan.
Kyverno menggunakan kustomizeoverlay -style untuk validasi, mendukung patch JSON dan patch penggabungan strategis untuk mutasi, dan dapat mengkloning sumber daya di seluruh namespace berdasarkan pemicu yang fleksibel. Anda dapat menyebarkan kebijakan satu per satu dengan menggunakan manifes YAML mereka, atau mengemasnya dan menyebarkannya dengan menggunakan bagan Helm.
Kyverno, tidak seperti Gatekeeper atau Azure Policy untuk AKS, dapat menghasilkan objek Kubernetes baru dengan kebijakan, bukan hanya memvalidasi atau membisukan sumber daya yang ada. Misalnya, Anda dapat menentukan kebijakan Kyverno untuk mengotomatiskan pembuatan kebijakan jaringan default untuk namespace layanan baru apa pun.
Untuk informasi selengkapnya, lihat panduan penginstalan Kyverno resmi. Untuk daftar kebijakan yang siap digunakan atau dapat disesuaikan, lihat pustaka Kebijakan Kyverno. Untuk referensi pemecahan masalah (seperti panggilan webhook APIServer yang gagal), lihat dokumentasi pemecahan masalah Kyverno.
Secara opsional, Anda dapat menyebarkan implementasi Kyverno dari Kubernetes Pod Security Standards (PSS) sebagai kebijakan Kyverno. Kontrol PSS menyediakan titik awal untuk keamanan operasional kluster Kubernetes umum.
Add-on Azure Policy untuk AKS
Add-on Azure Policy untuk AKS memperluas Gatekeeper untuk menerapkan penegakan dan perlindungan dalam skala besar pada kluster AKS secara terpusat dan konsisten. Azure Policy memungkinkan manajemen kepatuhan terpusat dan pelaporan untuk beberapa kluster Kubernetes dari satu lokasi. Kemampuan ini membuat manajemen dan tata kelola lingkungan multikluster lebih efisien daripada menyebarkan dan mengelola Kyverno atau Gatekeeper untuk setiap kluster.
Add-on Azure Policy untuk AKS memberlakukan fungsi berikut:
- Memeriksa dengan layanan Azure Policy untuk penetapan kebijakan ke kluster.
- Menyebar definisi kebijakan ke dalam kluster sebagai sumber daya templat batasan dan batasankustom.
- Melaporkan detail audit dan kepatuhan kembali ke layanan Azure Policy.
Add-on Azure Policy mendukung lingkungan kluster Kubernetes dengan dukungan AKS dan Azure Arc. Untuk informasi selengkapnya, lihat Memahami kluster Azure Policy untuk Kubernetes. Untuk menginstal add-on pada kluster baru dan yang sudah ada, lihat Menginstal Add-on Azure Policy untuk AKS.
Setelah menginstal Add-on Azure Policy untuk AKS, Anda dapat menerapkan definisi kebijakan individual atau grup definisi kebijakan yang disebut inisiatif ke kluster AKS Anda. Anda dapat menerapkan dan menerapkan definisi kebijakan dan inisiatif bawaan Azure Policy dari awal, atau membuat dan menetapkan definisi kebijakan kustom Anda sendiri. Kebijakan keamanan bawaan Azure Policy membantu meningkatkan postur keamanan kluster AKS Anda, menerapkan standar organisasi, dan menilai kepatuhan dalam skala besar.
Kontributor
Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.
Penulis utama:
- Martin Gjoshevski | Insinyur Layanan Senior
- Paolo Salvatori | Teknisi Layanan Utama
Kontributor lain:
- Chad Kittel | Insinyur Perangkat Lunak Utama
- Harga Ed | Manajer Program Konten Senior
- Theano Petersen | Penulis Teknis
Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.
Langkah berikutnya
- AKS untuk profesional Amazon EKS
- Manajemen identitas dan akses Kubernetes
- Pemantauan dan pengelogan Kubernetes
- Mengamankan akses jaringan ke Kubernetes
- Opsi penyimpanan untuk kluster Kubernetes
- Manajemen biaya untuk Kubernetes
- Node Kubernetes dan manajemen kumpulan simpul
Sumber daya terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk