Udostępnij za pośrednictwem


Nadzór nad klastrem Kubernetes

Ład odnosi się do zdolności organizacji do wymuszania i weryfikowania reguł w celu zagwarantowania zgodności ze standardami firmowymi. Ład pomaga organizacjom ograniczyć ryzyko, przestrzegać standardów firmowych i przepisów zewnętrznych oraz zminimalizować przerwy w wdrożeniu lub innowacji.

Ład obejmuje inicjatywy planowania, ustawianie strategicznych priorytetów oraz używanie mechanizmów i procesów do kontrolowania aplikacji i zasobów. W przypadku klastrów Kubernetes w środowisku chmury ład oznacza implementowanie zasad w klastrach Kubernetes i aplikacjach uruchomionych w tych klastrach.

Zarządzanie platformą Kubernetes obejmuje zarówno środowisko chmury, jak i infrastrukturę wdrażania klastra, a także same klastry i ich aplikacje. Ten przewodnik koncentruje się na ładie w klastrach Kubernetes. W tym artykule opisano i porównaliśmy sposób, w jaki usługa Amazon Elastic Kubernetes Service (Amazon EKS) i usługa Azure Kubernetes Service (AKS) zarządzają ładem klastra Kubernetes.

Uwaga

Ten artykuł jest częścią serii artykułów, które ułatwiają specjalistom, którzy znają usługę Amazon EKS, aby zrozumieć usługę Azure Kubernetes Service (AKS).

Wymiary ładu platformy Kubernetes

Trzy wymiary definiują spójną strategię zapewniania ładu na platformie Kubernetes:

  • Cele opisują cele zasad zabezpieczeń i zgodności, które powinny spełniać strategia zapewniania ładu. Na przykład obiekty docelowe określają, którzy użytkownicy mogą uzyskiwać dostęp do klastra Kubernetes, przestrzeni nazw lub aplikacji albo które rejestry kontenerów i obrazy mają być używane w których klastrach. Zespół ds. operacji zabezpieczeń zwykle określa te cele jako pierwszy krok w definiowaniu strategii zapewniania ładu w firmie.

  • Zakresy szczegółowo opisują elementy, do których mają zastosowanie zasady docelowe. Zakresy muszą dotyczyć wszystkich składników widocznych na platformie Kubernetes. Zakresy mogą być jednostkami organizacyjnymi, takimi jak działy, zespoły i grupy, lub środowiska, takie jak chmury, regiony lub przestrzenie nazw albo oba te elementy.

  • Dyrektywy zasad używają możliwości platformy Kubernetes, aby wymusić reguły docelowe w określonych zakresach w celu wymuszania zasad ładu.

Aby uzyskać więcej informacji, zobacz Zarządzanie platformą Kubernetes, co należy wiedzieć.

Ład w eks i AKS

  • Klienci usług Amazon Web Services (AWS) zwykle używają rozwiązań Kyverno, Gatekeeper lub innych firm do definiowania i implementowania strategii ładu dla swoich klastrów Amazon EKS. Repozytorium GitHub aws-eks-best-practices/policies zawiera kolekcję przykładowych zasad dla Kyverno i Gatekeeper.

  • Klienci platformy Azure mogą również używać usługi Kyverno lub Gatekeeper i mogą używać dodatku Usługi Azure Policy dla platformy Kubernetes , aby rozszerzyć usługę Gatekeeper na strategię zapewniania ładu w usłudze AKS.

Strażnik

Cloud Native Computing Foundation (CNCF) sponsoruje kontroler zasad strażnika open source dla platformy Kubernetes w celu wymuszania zasad w klastrach Kubernetes. Gatekeeper to kontroler wpływu danych platformy Kubernetes, który wymusza zasady utworzone za pomocą narzędzia Open Policy Agent (OPA) — aparatu zasad ogólnego przeznaczenia.

Usługa OPA używa języka deklaratywnego wysokiego poziomu o nazwie Rego do tworzenia zasad, które mogą uruchamiać zasobniki z dzierżaw w oddzielnych wystąpieniach lub w różnych priorytetach. Aby zapoznać się z kolekcją typowych zasad OPA, zobacz bibliotekę usługi OPA Gatekeeper.

Kyverno

FIRMA CNCF sponsoruje również projekt typu open source Kyverno w celu wymuszania zasad w klastrach Kubernetes. Kyverno to natywny aparat zasad kubernetes, który może weryfikować, mutować i generować konfiguracje zasobów Kubernetes przy użyciu zasad.

Za pomocą usługi Kyverno można definiować zasady i zarządzać nimi jako zasoby kubernetes bez używania nowego języka. Takie podejście umożliwia używanie znanych narzędzi, takich jak kubectl, git i kustomize do zarządzania zasadami.

Kyverno używa kustomizenakładek stylu do walidacji, obsługuje poprawki JSON i strategiczną poprawkę scalania dla mutacji i może klonować zasoby w przestrzeniach nazw na podstawie elastycznych wyzwalaczy. Zasady można wdrażać indywidualnie przy użyciu manifestów YAML lub pakietu i wdrażać je przy użyciu pakietów Helm.

Kyverno, w przeciwieństwie do usługi Gatekeeper lub Azure Policy dla usługi AKS, może generować nowe obiekty Kubernetes przy użyciu zasad, a nie tylko weryfikować lub mutować istniejące zasoby. Można na przykład zdefiniować zasady Kyverno, aby zautomatyzować tworzenie domyślnych zasad sieciowych dla dowolnej nowej przestrzeni nazw.

Aby uzyskać więcej informacji, zobacz oficjalny przewodnik instalacji Kyverno. Aby uzyskać listę gotowych do użycia lub dostosowywalnych zasad, zobacz bibliotekę Zasad Kyverno. Aby uzyskać informacje dotyczące rozwiązywania problemów (takie jak nieudane wywołania elementu webhook serwera APIServer), zobacz dokumentację rozwiązywania problemów z usługą Kyverno.

Opcjonalnie możesz wdrożyć implementację kyverno standardów zabezpieczeń zasobnika Kubernetes (PSS) jako zasad Kyverno. Kontrolki PSS zapewniają punkt wyjścia dla ogólnych zabezpieczeń operacyjnych klastra Kubernetes.

Dodatek usługi Azure Policy dla usługi AKS

Dodatek usługi Azure Policy dla usługi AKS rozszerza usługę Gatekeeper w celu stosowania wymuszania na dużą skalę i zabezpieczeń w klastrach usługi AKS w sposób scentralizowany i spójny. Usługa Azure Policy umożliwia scentralizowane zarządzanie zgodnością i raportowanie dla wielu klastrów Kubernetes z jednej lokalizacji. Ta funkcja sprawia, że zarządzanie środowiskami wieloklastrowymi i zarządzanie nimi jest bardziej wydajne niż wdrażanie kyverno lub gatekeeper oraz zarządzanie nimi dla każdego klastra.

Dodatek usługi Azure Policy dla usługi AKS wprowadza następujące funkcje:

  • Sprawdza usługę Azure Policy pod kątem przypisań zasad do klastra.
  • Wdraża definicje zasad w klastrze jako szablon ograniczeń i ograniczone zasoby niestandardowe.
  • Raportuje szczegóły inspekcji i zgodności z powrotem do usługi Azure Policy.

Dodatek usługi Azure Policy obsługuje środowiska klastrów Kubernetes z obsługą usług AKS i Azure Arc. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Policy dla klastrów Kubernetes. Aby zainstalować dodatek w nowych i istniejących klastrach, zobacz Instalowanie dodatku usługi Azure Policy dla usługi AKS.

Po zainstalowaniu dodatku usługi Azure Policy dla usługi AKS można zastosować poszczególne definicje zasad lub grupy definicji zasad nazywanych inicjatywami do klastra usługi AKS. Możesz stosować i wymuszać wbudowane definicje zasad i inicjatyw usługi Azure Policy od samego początku lub tworzyć i przypisywać własne niestandardowe definicje zasad. Wbudowane zasady zabezpieczeń usługi Azure Policy pomagają zwiększyć poziom zabezpieczeń klastra usługi AKS, wymuszać standardy organizacyjne i oceniać zgodność na dużą skalę.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Autorzy zabezpieczeń:

Inni współautorzy:

  • Chad Kittel | Główny inżynier oprogramowania
  • Cena Ed | Starszy menedżer programu zawartości
  • Theano Petersen | Składnik zapisywania technicznego

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki