Kubernetes met Azure Arc beheren met behulp van Azure Policy en Azure Monitor
Azure Arc centraliseert en stroomlijnt het beheer door een reeks Azure-services in te schakelen, zoals Azure Policy en Azure Monitor.
In deze les leert u hoe u deze services gebruikt voor het beheren en bewaken van Kubernetes-clusters met Azure Arc.
Azure Policy
Azure Policy maakt gebruik van declaratieve regels op basis van eigenschappen van doelresourcetypen, waaronder Kubernetes-clusters en hun onderdelen. Deze regels vormen beleidsdefinities, die beheerders kunnen toepassen via beleidstoewijzing op resourcegroepen, abonnementen of beheergroepen.
Azure Policy voor Kubernetes
Met Azure Policy voor Kubernetes kunnen bedrijven uniforme governanceregels afdwingen in al hun Kubernetes-clusters met Azure Arc om eventuele niet-naleving van organisatiestandaarden te detecteren.
De Azure Policy-extensie voor Kubernetes met Arc voert de volgende acties uit:
- Controleert regelmatig op Azure Policy-toewijzingen die zijn gericht op het Kubernetes-cluster dat als host fungeert voor de toegangscontrollerpods.
- Hiermee worden beleidsdefinities in het cluster geïmplementeerd als aangepaste resources die beperkingen toepassen, die door de toegangscontrollerpods worden afgedwongen.
- Rapporteert controle- en nalevingsgegevens aan Azure Policy, zodat u de status kunt controleren via Azure Portal, net als voor andere Azure- of Azure Arc-resources.
Ingebouwde beleidsdefinities voor Kubernetes met Arc
Azure Policy biedt veel ingebouwde definities voor Kubernetes met Azure Arc, waaronder de volgende veelgebruikte beleidsdefinities:
| Beleidsnaam | Beleidsbeschrijving |
|---|---|
| Kubernetes-cluster mag geen bevoegde containers toestaan | Voorkomt het maken van bevoegde containers in een cluster. |
| Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Zorgt ervoor dat HTTPS wordt gebruikt voor toegangsbeheerde verbindingen. |
| Kubernetes-clusterservices mogen alleen toegestane externe IP-adressen gebruiken | Zorgt ervoor dat alleen toegestane externe IP-adressen worden gebruikt. |
| Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | Hiermee worden limieten voor cpu- en geheugenresources van containers afgedwongen. |
| Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | Hiermee worden services beperkt tot alleen luisteren op toegestane poorten. |
| Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | Hiermee beperkt u installatiekopieën die kunnen worden gebruikt voor het implementeren van containers naar alleen installatiekopieën van vertrouwde registers. |
| Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | Hiermee beperkt u de mogelijkheden om het kwetsbaarheid voor aanvallen van containers te verminderen. |
| Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | Hiermee beperkt u podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een cluster. |
Er zijn veel meer ingebouwde beleidsdefinities beschikbaar. Als u alle beleidsdefinities wilt weergeven, zoekt en selecteert u Beleid in Azure Portal, selecteert u Definities in het linkermenu en selecteert u Vervolgens Kubernetes in de vervolgkeuzelijst Categorie .
Azure Policy implementeren voor Kubernetes
Als u Azure Policy voor Kubernetes op verbonden clusters wilt implementeren, moet u de Azure Policy-extensie installeren. Voor Kubernetes met Azure Arc bestaat het proces uit de volgende stappen op hoog niveau.
- Meld u aan bij de Microsoft Entra-tenant met een account met machtigingen voor het beheren van de Kubernetes-resource met Arc.
- Maak een Azure Policy-extensie-exemplaar op het cluster.
- Maak een beleidstoewijzing met behulp van een van de Kubernetes-specifieke beleidsdefinities.
Zodra de beleidstoewijzing is gemaakt, begint Azure Policy te controleren op naleving.
Azure Monitor
Azure Monitor breidt uitgebreide cloudbeheerfunctionaliteit uit buiten Azure naar on-premises datacenters en niet-Microsoft-cloudproviders. Monitor verzamelt en bewaakt metrische gegevens, activiteiten- en diagnostische logboeken en gebeurtenissen van Azure-services, resources met Arc en on-premises datacenter en cloudresources van derden.
Functies van de Azure Monitor-interface zijn:
- Dashboards en werkmappen.
- Analyse van metrische gegevens met hulpprogramma's zoals Metrics Explorer of Power BI.
- Algemene actiegroepen die door waarschuwingen geactiveerde acties en geadresseerden van waarschuwingen aanwijzen.
Azure Monitor Container Insights
Azure Monitor Container Insights biedt uitgebreid inzicht in de status van de Kubernetes-omgeving, waardoor operationele stabiliteit en bedrijfscontinuïteit behouden blijven. Metrische gegevens worden verzameld op controllers, knooppunten en containers in Kubernetes-omgevingen, waaronder Kubernetes met Azure Arc.
Container insights biedt de volgende mogelijkheden:
- Identificeer containers die worden uitgevoerd op elk clusterknooppunt en hun gemiddelde processor- en geheugengebruik om knelpunten in resources te detecteren.
- Identificeer containers die in afzonderlijke pods worden uitgevoerd, zodat u de algehele prestaties van de pod kunt bijhouden.
- Evalueer het resourcegebruik van workloads die worden uitgevoerd op de host die niet zijn gerelateerd aan de standaardprocessen die ondersteuning bieden voor de pod.
- Vergelijk het gedrag van het cluster onder gemiddelde en zwaarste belastingen om te helpen bij het beoordelen van de capaciteitsbehoeften en het schatten van de maximale belasting die het cluster kan onderhouden.
- Configureer waarschuwingen om u proactief op de hoogte te stellen wanneer het resourcegebruik de acceptabele drempelwaarden overschrijdt of wanneer een status in het cluster verandert.
Kubernetes-clusters met Azure Arc bewaken
Azure Monitor Container Insights is afhankelijk van een containerversie van Azure Monitor Agent voor Linux. Deze agent wordt uitgevoerd in het bewaakte cluster om metrische prestatiegegevens en logboeken van clusterknooppunten en containers te verzamelen. De agent communiceert rechtstreeks met de Kubernetes Metrics-API en uploadt de verzamelde gegevens naar Azure.
Het proces voor het implementeren van Azure Monitor Container Insights voor Kubernetes-implementaties met Azure Arc bestaat uit de volgende stappen op hoog niveau.
- Meld u aan bij de Microsoft Entra-tenant met een account met machtigingen voor het beheren van de Kubernetes-resource met Arc.
- Identificeer de werkruimte-id van de Log Analytics-werkruimte die u wilt gebruiken.
- Maak een Azure Monitor Container Insights-extensie-exemplaar op het cluster met behulp van de Log Analytics-werkruimte-id.