Ćwiczenie — włączanie usługi Azure Policy dla usług Azure Kubernetes Services

  • 45 min

Załóżmy, że chcesz utworzyć klaster usługi Azure Kubernetes Service (AKS) dla nowej gry wideo, nad którą pracuje twój zespół. Chcesz wypróbować użycie zasad platformy Azure, aby zarządzać tym klastrem. Na podstawie badań decydujesz się rozpocząć od następujących zasad:

  • Zezwalaj na obrazy tylko z zaufanych rejestrów w klastrze
  • Inicjatywa dotycząca ograniczonych standardów bezpieczeństwa zasobników w klastrze Kubernetes dla obciążeń przetwarzających opartych na systemie Linux

Pierwszym krokiem jest utworzenie klastra usługi AKS z włączonymi zasadami platformy Azure.

Notatka

To ćwiczenie jest opcjonalne. Jeśli chcesz wykonać to ćwiczenie, przed rozpoczęciem musisz utworzyć subskrypcję platformy Azure. Jeśli nie masz konta platformy Azure lub nie chcesz go tworzyć w tej chwili, możesz zapoznać się z instrukcjami, aby zrozumieć prezentowane informacje.

Tworzenie klastra usługi AKS przy użyciu usługi Azure Policy i dodatku usługi Azure Monitor

Przed zainstalowaniem dodatku usługi Azure Policy lub włączeniem dowolnej funkcji usługi subskrypcja musi włączyć dostawcę zasobów Microsoft.PolicyInsights .

  1. Potrzebny jest interfejs wiersza polecenia platformy Azure w wersji 2.12.0 lub nowszej, zainstalowany i skonfigurowany. Aby znaleźć wersję, uruchom az --version. Jeśli musisz zainstalować lub uaktualnić, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
  2. Zarejestruj dostawców zasobów i funkcje w wersji zapoznawczej.

W tym ćwiczeniu użyjemy usługi Azure Cloud Shell do uruchamiania poleceń. W tym ćwiczeniu możesz użyć wybranego terminalu. Aby rozpocząć, zaloguj się do portalu Azure

Konfigurowanie środowiska

  1. Przejdź do witryny Azure Portal.

    Portal Azure

  2. Wybierz ikonę usługi Cloud Shell w górnej części ekranu po prawej stronie paska wyszukiwania

    zrzut ekranu witryny Azure Portal na ekranie tworzenia usługi Cloud Shell.

  3. Wybierz odpowiednią subskrypcję, a następnie wybierz pozycję Utwórz magazyn.

  4. W lewym górnym rogu wynikowej usługi Cloud Shell wybierz pozycję PowerShell i zmień ją na Bash. Jeśli Bash jest już pokazany, możesz pominąć ten krok

  5. Zarejestruj dostawców zasobów i funkcje w wersji zapoznawczej, wprowadzając następujące polecenie w usłudze Cloud Shell.

    # Log in first with az login if you're not using Cloud Shell
# Provider register: Register the Azure Policy provider
az provider register --namespace Microsoft.PolicyInsights

  6. Po wykonaniu tych kroków wymagań wstępnych użyj instrukcji z poprzedniej notatki, aby zainstalować dodatek usługi Azure Policy w klastrze usługi AKS, którym chcesz zarządzać. W następnej sekcji utworzymy nowy klaster i włączymy dodatek usługi Azure Policy.

Tworzenie klastra usługi AKS i włączanie dodatku usługi Azure Policy

Po zarejestrowaniu dostawcy możemy utworzyć nową grupę zasobów i utworzyć klaster usługi AKS w ramach tej grupy.

  1. Tworzenie grupy zasobów

    az group create --location eastus --name videogamerg

  2. Tworzenie klastra usługi AKS przy użyciu ustawień domyślnych

    Notatka

    W przypadku obciążeń produkcyjnych zaleca się jeszcze bardziej dostosować proces tworzenia klastra, aby mieć pewność, że spełnia on wymagania dotyczące zabezpieczeń i zarządzania ładem. Zamierzamy używać prostego klastra wyłącznie do celów szkoleniowych.

    az aks create --name videogamecluster --resource-group videogamerg

  3. Włączanie zasad platformy Azure dla klastra

    az aks enable-addons --addons azure-policy --name videogamecluster --resource-group videogamerg