Stosowanie konfiguracji platformy Flux w wersji 1 na dużą skalę przy użyciu usługi Azure Policy
Za pomocą usługi Azure Policy można stosować konfiguracje platformy Flux w wersji 1 (Microsoft.KubernetesConfiguration/sourceControlConfigurations
typ zasobu) na dużą skalę w klastrach Kubernetes z obsługą usługi Azure Arc (Microsoft.Kubernetes/connectedclusters
).
Ważne
Ten artykuł dotyczy metodyki GitOps z platformą Flux w wersji 1. Usługa GitOps z rozwiązaniem Flux v2 jest teraz dostępna dla klastrów Kubernetes i Azure Kubernetes Service (AKS) z obsługą usługi Azure Arc; dowiedz się więcej o korzystaniu z usługi Azure Policy z rozwiązaniem Flux w wersji 2. Zalecamy jak najszybsze przeprowadzenie migracji do wersji Flux v2 .
Obsługa zasobów konfiguracji klastra opartych na platformie Flux w wersji 1 utworzonych przed 1 stycznia 2024 r. zakończy się 24 maja 2025 r. Od 1 stycznia 2024 r. nie będzie można utworzyć nowych zasobów konfiguracji klastra opartego na platformie Flux w wersji 1.
Aby użyć usługi Azure Policy, wybierz wbudowaną definicję zasad GitOps i utwórz przypisanie zasad. Podczas tworzenia przypisania zasad:
- Ustaw zakres przypisania.
- Zakresem będą wszystkie grupy zasobów w subskrypcji lub grupie zarządzania lub określonych grupach zasobów.
- Ustaw parametry konfiguracji GitOps, która zostanie utworzona.
Po utworzeniu przypisania aparat usługi Azure Policy identyfikuje wszystkie klastry Kubernetes z włączoną obsługą usługi Azure Arc i stosuje konfigurację gitOps do każdego klastra.
Aby umożliwić rozdzielenie problemów, można utworzyć wiele przypisań zasad, z których każda ma inną konfigurację gitOps wskazującą inne repozytorium Git. Na przykład jedno repozytorium może być używane przez administratorów klastra, a inne repozytoria mogą być używane przez zespoły aplikacji.
Napiwek
Istnieją wbudowane definicje zasad dla tych scenariuszy:
- Repozytorium publiczne lub repozytorium prywatne z kluczami SSH utworzonymi przez platformę Flux:
Configure Kubernetes clusters with specified GitOps configuration using no secrets
- Prywatne repozytorium z kluczami SSH udostępnianymi przez użytkownika:
Configure Kubernetes clusters with specified GitOps configuration using SSH secrets
- Prywatne repozytorium z kluczami HTTPS dostarczonymi przez użytkownika:
Configure Kubernetes clusters with specified GitOps configuration using HTTPS secrets
Warunek wstępny
Sprawdź, czy masz Microsoft.Authorization/policyAssignments/write
uprawnienia do zakresu (subskrypcji lub grupy zasobów), w którym utworzysz to przypisanie zasad.
Tworzenie przypisania zasad
- W witrynie Azure Portal przejdź do obszaru Zasady.
- W sekcji Tworzenie paska bocznego wybierz pozycję Definicje.
- W kategorii "Kubernetes" wybierz wbudowaną definicję zasad "Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps bez wpisów tajnych".
- Wybierz opcję Przypisz.
- Ustaw pozycję Zakres na grupę zarządzania, subskrypcję lub grupę zasobów, do której zostanie zastosowane przypisanie zasad.
- Jeśli chcesz wykluczyć wszystkie zasoby z zakresu przypisania zasad, ustaw pozycję Wykluczenia.
- Nadaj przypisaniu zasad łatwe do zidentyfikowania nazwę i opis.
- Upewnij się, że dla wymuszania zasad ustawiono wartość Włączone.
- Wybierz pozycję Dalej.
- Ustaw wartości parametrów, które mają być używane podczas tworzenia
sourceControlConfigurations
zasobu.- Aby uzyskać więcej informacji na temat parametrów, zobacz samouczek dotyczący wdrażania konfiguracji usługi GitOps.
- Wybierz pozycję Dalej.
- Włącz tworzenie zadania korygowania.
- Sprawdź, czy zaznaczono pole wyboru Utwórz tożsamość zarządzaną i czy tożsamość będzie mieć uprawnienia Współautor .
- Aby uzyskać więcej informacji, zobacz przewodnik Szybki start Tworzenie przypisania zasad i Korygowanie niezgodnych zasobów za pomocą usługi Azure Policy.
- Wybierz pozycję Przejrzyj i utwórz.
Po utworzeniu przypisania zasad konfiguracja jest stosowana do nowych klastrów Kubernetes z obsługą usługi Azure Arc utworzonych w zakresie przypisywania zasad.
W przypadku istniejących klastrów może być konieczne ręczne uruchomienie zadania korygowania. Wykonanie tego zadania zwykle trwa od 10 do 20 minut, aby przypisanie zasad zaczęły obowiązywać.
Weryfikowanie przypisania zasad
- W witrynie Azure Portal przejdź do jednego z klastrów Kubernetes z obsługą usługi Azure Arc.
- W sekcji Ustawienia paska bocznego wybierz pozycję Zasady.
- Na liście powinno zostać wyświetlone przypisanie zasad utworzone wcześniej z ustawionym stanem Zgodność jako Zgodne.
- W sekcji Ustawienia paska bocznego wybierz pozycję GitOps.
- Na liście konfiguracji powinna zostać wyświetlona konfiguracja utworzona przez przypisanie zasad.
- W sekcji Zasoby platformy Kubernetes na pasku bocznym wybierz pozycję Przestrzenie nazw i obciążenia.
- Powinna zostać wyświetlona przestrzeń nazw i artefakty utworzone przez konfigurację platformy Flux.
- Obiekty opisane przez manifesty powinny być widoczne w repozytorium Git wdrożonym w klastrze.
Następne kroki
Konfigurowanie usługi Azure Monitor dla kontenerów za pomocą klastrów Kubernetes z włączoną usługą Azure Arc.