Stosowanie konfiguracji platformy Flux w wersji 1 na dużą skalę przy użyciu usługi Azure Policy

Za pomocą usługi Azure Policy można stosować konfiguracje platformy Flux w wersji 1 (Microsoft.KubernetesConfiguration/sourceControlConfigurations typ zasobu) na dużą skalę w klastrach Kubernetes z obsługą usługi Azure Arc (Microsoft.Kubernetes/connectedclusters).

Ważne

Ten artykuł dotyczy metodyki GitOps z platformą Flux w wersji 1. Usługa GitOps z rozwiązaniem Flux v2 jest teraz dostępna dla klastrów Kubernetes i Azure Kubernetes Service (AKS) z obsługą usługi Azure Arc; dowiedz się więcej o korzystaniu z usługi Azure Policy z rozwiązaniem Flux w wersji 2. Zalecamy jak najszybsze przeprowadzenie migracji do wersji Flux v2 .

Obsługa zasobów konfiguracji klastra opartych na platformie Flux w wersji 1 utworzonych przed 1 stycznia 2024 r. zakończy się 24 maja 2025 r. Od 1 stycznia 2024 r. nie będzie można utworzyć nowych zasobów konfiguracji klastra opartego na platformie Flux w wersji 1.

Aby użyć usługi Azure Policy, wybierz wbudowaną definicję zasad GitOps i utwórz przypisanie zasad. Podczas tworzenia przypisania zasad:

1. Ustaw zakres przypisania.
   • Zakresem będą wszystkie grupy zasobów w subskrypcji lub grupie zarządzania lub określonych grupach zasobów.
2. Ustaw parametry konfiguracji GitOps, która zostanie utworzona.

Po utworzeniu przypisania aparat usługi Azure Policy identyfikuje wszystkie klastry Kubernetes z włączoną obsługą usługi Azure Arc i stosuje konfigurację gitOps do każdego klastra.

Aby umożliwić rozdzielenie problemów, można utworzyć wiele przypisań zasad, z których każda ma inną konfigurację gitOps wskazującą inne repozytorium Git. Na przykład jedno repozytorium może być używane przez administratorów klastra, a inne repozytoria mogą być używane przez zespoły aplikacji.

Napiwek

Istnieją wbudowane definicje zasad dla tych scenariuszy:

• Repozytorium publiczne lub repozytorium prywatne z kluczami SSH utworzonymi przez platformę Flux: Configure Kubernetes clusters with specified GitOps configuration using no secrets
• Prywatne repozytorium z kluczami SSH udostępnianymi przez użytkownika: Configure Kubernetes clusters with specified GitOps configuration using SSH secrets
• Prywatne repozytorium z kluczami HTTPS dostarczonymi przez użytkownika: Configure Kubernetes clusters with specified GitOps configuration using HTTPS secrets

Warunek wstępny

Sprawdź, czy masz Microsoft.Authorization/policyAssignments/write uprawnienia do zakresu (subskrypcji lub grupy zasobów), w którym utworzysz to przypisanie zasad.

Tworzenie przypisania zasad

1. W witrynie Azure Portal przejdź do obszaru Zasady.
2. W sekcji Tworzenie paska bocznego wybierz pozycję Definicje.
3. W kategorii "Kubernetes" wybierz wbudowaną definicję zasad "Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps bez wpisów tajnych".
4. Wybierz opcję Przypisz.
5. Ustaw pozycję Zakres na grupę zarządzania, subskrypcję lub grupę zasobów, do której zostanie zastosowane przypisanie zasad.
   • Jeśli chcesz wykluczyć wszystkie zasoby z zakresu przypisania zasad, ustaw pozycję Wykluczenia.
6. Nadaj przypisaniu zasad łatwe do zidentyfikowania nazwę i opis.
7. Upewnij się, że dla wymuszania zasad ustawiono wartość Włączone.
8. Wybierz pozycję Dalej.
9. Ustaw wartości parametrów, które mają być używane podczas tworzenia sourceControlConfigurations zasobu.
   • Aby uzyskać więcej informacji na temat parametrów, zobacz samouczek dotyczący wdrażania konfiguracji usługi GitOps.
10. Wybierz pozycję Dalej.
11. Włącz tworzenie zadania korygowania.
12. Sprawdź, czy zaznaczono pole wyboru Utwórz tożsamość zarządzaną i czy tożsamość będzie mieć uprawnienia Współautor .
    • Aby uzyskać więcej informacji, zobacz przewodnik Szybki start Tworzenie przypisania zasad i Korygowanie niezgodnych zasobów za pomocą usługi Azure Policy.
13. Wybierz pozycję Przejrzyj i utwórz.

Po utworzeniu przypisania zasad konfiguracja jest stosowana do nowych klastrów Kubernetes z obsługą usługi Azure Arc utworzonych w zakresie przypisywania zasad.

W przypadku istniejących klastrów może być konieczne ręczne uruchomienie zadania korygowania. Wykonanie tego zadania zwykle trwa od 10 do 20 minut, aby przypisanie zasad zaczęły obowiązywać.

Weryfikowanie przypisania zasad

1. W witrynie Azure Portal przejdź do jednego z klastrów Kubernetes z obsługą usługi Azure Arc.
2. W sekcji Ustawienia paska bocznego wybierz pozycję Zasady.
   • Na liście powinno zostać wyświetlone przypisanie zasad utworzone wcześniej z ustawionym stanem Zgodność jako Zgodne.
3. W sekcji Ustawienia paska bocznego wybierz pozycję GitOps.
   • Na liście konfiguracji powinna zostać wyświetlona konfiguracja utworzona przez przypisanie zasad.
4. W sekcji Zasoby platformy Kubernetes na pasku bocznym wybierz pozycję Przestrzenie nazw i obciążenia.
   • Powinna zostać wyświetlona przestrzeń nazw i artefakty utworzone przez konfigurację platformy Flux.
   • Obiekty opisane przez manifesty powinny być widoczne w repozytorium Git wdrożonym w klastrze.

Następne kroki

Konfigurowanie usługi Azure Monitor dla kontenerów za pomocą klastrów Kubernetes z włączoną usługą Azure Arc.