Gestire Kubernetes abilitato per Azure Arc usando Criteri di Azure e Monitoraggio di Azure
Azure Arc centralizza e semplifica la gestione abilitando una gamma di servizi di Azure, ad esempio Criteri di Azure e Monitoraggio di Azure.
In questa unità vengono fornite informazioni sull'uso di questi servizi per gestire e monitorare i cluster Kubernetes abilitati per Azure Arc.
Criteri di Azure
Criteri di Azure usa regole dichiarative basate sulle proprietà dei tipi di risorse di destinazione, inclusi i cluster Kubernetes e i relativi componenti. Queste regole costituiscono le definizioni dei criteri che gli amministratori possono applicare tramite l'assegnazione di criteri a gruppi di risorse, sottoscrizioni o gruppi di gestione.
Criteri di Azure per Kubernetes
Con Criteri di Azure per Kubernetes, le aziende possono applicare regole di governance uniformi in tutti i cluster Kubernetes abilitati per Azure Arc per rilevare eventuali casi di non conformità agli standard dell'organizzazione.
L'estensione Criteri di Azure per Kubernetes abilitata per Arc esegue le azioni seguenti:
- Verifica periodicamente la presenza di assegnazioni di Criteri di Azure destinate al cluster Kubernetes che ospita i pod del controller di ammissione.
- Distribuisce le definizioni dei criteri nel cluster come risorse personalizzate che utilizzano i vincoli, che vengono applicati dai pod del controller di ammissione.
- Segnala i dati di controllo e conformità a Criteri di Azure, in modo da poter esaminare lo stato tramite il portale di Azure come per altre risorse abilitate per Azure o Azure Arc.
Definizioni di criteri predefiniti per Kubernetes con abilitazione di Azure Arc
Criteri di Azure offre molte definizioni predefinite per Kubernetes con abilitazione per Azure Arc, incluse le seguenti definizioni dei criteri di uso comune:
| Nome del criterio | Descrizione del criterio |
|---|---|
| Il cluster Kubernetes non deve consentire contenitori con privilegi | Impedisce la creazione di contenitori con privilegi in un cluster. |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | Assicura che venga usato HTTPS per le connessioni in ingresso. |
| I servizi del cluster Kubernetes devono usare solo gli indirizzi IP esterni consentiti | Assicura che vengano usati solo gli indirizzi IP esterni consentiti. |
| Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applica i limiti delle risorse per CPU e memoria dei contenitori. |
| Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Permette ai servizi di essere in ascolto solo sulle porte consentite. |
| I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Limita le immagini che possono essere usate per distribuire i contenitori solo a quelle dei registri attendibili. |
| I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limita le funzionalità per ridurre la superficie di attacco dei contenitori. |
| I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limita l'accesso dei pod alla rete host e all'intervallo di porte host consentite in un cluster. |
Sono disponibili molte altre definizioni di criteri predefinite. Per visualizzare tutte le definizioni dei criteri, cercare e selezionare Criteri nel portale di Azure, selezionare Definizioni nel menu a sinistra e quindi scegliere Kubernetes nell'elenco a discesa Categoria.
Implementare Criteri di Azure per Kubernetes
Per implementare Criteri di Azure per Kubernetes nei cluster connessi, è necessario installare l'estensione Criteri di Azure. Per Kubernetes abilitato per Azure Arc, il processo è costituito dai passaggi generali seguenti.
- Accedere al tenant di Microsoft Entra con un account con autorizzazioni per gestire la risorsa Kubernetes abilitata per Arc.
- Creare un'istanza di estensione Criteri di Azure nel cluster.
- Creare un'assegnazione di criteri tramite una delle definizioni dei criteri specifiche di Kubernetes.
Dopo aver creato l'assegnazione dei criteri, Criteri di Azure inizia a verificare la conformità.
Monitoraggio di Azure
Monitoraggio di Azure estende le funzionalità di gestione complete e basate sul cloud oltre la portata di Azure, raggiungendo i data center locali e le soluzioni dei provider di servizi cloud non Microsoft. Monitoraggio supporta le metriche, i log di attività e diagnostica ed eventi da servizi di Azure, risorse con abilitazione per Arc, di data center locali e altre risorse cloud di terze parti.
Le funzionalità dell'interfaccia di Monitoraggio di Azure includono:
- Dashboard e cartelle di lavoro.
- Analisi delle metriche con strumenti come Esplora metriche o Power BI.
- Gruppi di azioni comuni che definiscono le azioni attivate dagli avvisi e i destinatari degli avvisi.
Informazioni dettagliate sul contenitore di Monitoraggio di Azure
Le informazioni dettagliate sui contenitori di Monitoraggio di Azure offrono informazioni dettagliate sullo stato dell'ambiente Kubernetes, consentendo di mantenere la stabilità operativa e la continuità aziendale. Le metriche vengono raccolte in controller, nodi e contenitori in ambienti Kubernetes, tra cui Kubernetes abilitato per Azure Arc.
Informazioni dettagliate sui contenitori offre le funzionalità seguenti:
- Identificare i contenitori in esecuzione in ogni nodo del cluster e il relativo utilizzo medio del processore e della memoria per rilevare i colli di bottiglia delle risorse.
- Individuare i contenitori in esecuzione nei singoli pod per tenere traccia delle prestazioni complessive del pod.
- Valutare l'utilizzo delle risorse dei carichi di lavoro in esecuzione nell'host non correlati ai processi standard che supportano il pod.
- Confrontare il comportamento del cluster con carichi medi e pesanti, per valutare le esigenze di capacità e stimare il carico massimo che il cluster può sostenere.
- Configurare gli avvisi per ricevere notifiche in modo proattivo quando l'utilizzo delle risorse supera le soglie accettabili o quando si verifica una modifica dello stato di integrità nel cluster.
Monitorare i cluster Kubernetes con abilitazione di Azure Arc
Informazioni dettagliate sui contenitori di Monitoraggio di Azure si basa su una versione in contenitori dell'agente di Monitoraggio di Azure per Linux. Questo agente viene eseguito nel cluster monitorato per raccogliere metriche e log delle prestazioni da nodi e contenitori del cluster. L'agente interagisce direttamente con l'API delle metriche di Kubernetes e carica i dati raccolti in Azure.
Il processo per implementare informazioni dettagliate sui contenitori di Monitoraggio di Azure per le distribuzioni Kubernetes abilitate per Azure Arc è costituito dai seguenti passaggi generali.
- Accedere al tenant di Microsoft Entra con un account con autorizzazioni per gestire la risorsa Kubernetes abilitata per Arc.
- Identificare l'ID dell'area di lavoro Log Analytics che si vuole utilizzare.
- Creare un'istanza dell'estensione Informazioni dettagliate del contenitore di Monitoraggio di Azure nel cluster usando l'ID dell'area di lavoro Log Analytics.