Zarządzanie platformą Kubernetes z włączoną usługą Azure Arc przy użyciu usług Azure Policy i Azure Monitor
Usługa Azure Arc centralizuje i usprawnia zarządzanie, włączając szereg usług platformy Azure, takich jak Azure Policy i Azure Monitor.
W tej lekcji dowiesz się, jak używać tych usług do zarządzania klastrami Kubernetes z włączoną usługą Azure Arc i monitorowania ich.
Azure Policy
Usługa Azure Policy używa reguł deklaratywnych na podstawie właściwości docelowych typów zasobów, w tym klastrów Kubernetes i ich składników. Te reguły tworzą definicje zasad, które administratorzy mogą stosować za pomocą przypisywania zasad do grup zasobów, subskrypcji lub grup zarządzania.
Azure Policy dla platformy Kubernetes
Dzięki usłudze Azure Policy dla platformy Kubernetes firmy mogą wymuszać jednolite reguły ładu we wszystkich klastrach Kubernetes z obsługą usługi Azure Arc w celu wykrywania wszelkich niezgodności ze standardami organizacyjnymi.
Rozszerzenie usługi Azure Policy dla platformy Kubernetes z obsługą usługi Arc wykonuje następujące akcje:
- Okresowo sprawdza przypisania usługi Azure Policy przeznaczone dla klastra Kubernetes obsługującego zasobniki kontrolera przyjęć.
- Wdraża definicje zasad w klastrze jako zasoby niestandardowe, które stosują ograniczenia, które wymuszają zasobniki kontrolera dostępu.
- Raporty inspekcji i danych zgodności do usługi Azure Policy, dzięki czemu można przeglądać stan za pośrednictwem witryny Azure Portal, jak w przypadku innych zasobów z obsługą usługi Azure Arc lub platformy Azure.
Wbudowane definicje zasad dla platformy Kubernetes z obsługą usługi Arc
Usługa Azure Policy oferuje wiele wbudowanych definicji platformy Kubernetes z obsługą usługi Azure Arc, w tym następujące często używane definicje zasad:
| Nazwa zasady | Opis zasad |
|---|---|
| Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | Zapobiega tworzeniu uprzywilejowanych kontenerów w klastrze. |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Gwarantuje, że protokół HTTPS jest używany na potrzeby połączeń przychodzących. |
| Usługi klastra Kubernetes powinny używać tylko dozwolonych zewnętrznych adresów IP | Gwarantuje, że są używane tylko dozwolone zewnętrzne adresy IP. |
| Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | Wymusza limity zasobów procesora CPU i pamięci kontenera. |
| Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicza usługi do nasłuchiwania tylko na dozwolonych portach. |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | Ogranicza obrazy, których można użyć do wdrażania kontenerów tylko na obrazach z zaufanych rejestrów. |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | Ogranicza możliwości w celu zmniejszenia obszaru ataków kontenerów. |
| Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | Ogranicza dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze. |
Dostępnych jest wiele innych wbudowanych definicji zasad. Aby wyświetlić wszystkie definicje zasad, wyszukaj i wybierz pozycję Zasady w witrynie Azure Portal, wybierz pozycję Definicje w menu po lewej stronie, a następnie wybierz pozycję Kubernetes na liście rozwijanej Kategoria .
Implementowanie usługi Azure Policy dla platformy Kubernetes
Aby zaimplementować usługę Azure Policy dla platformy Kubernetes w połączonych klastrach, należy zainstalować rozszerzenie usługi Azure Policy. W przypadku platformy Kubernetes z obsługą usługi Azure Arc proces składa się z następujących kroków wysokiego poziomu.
- Zaloguj się do dzierżawy microsoft Entra przy użyciu konta z uprawnieniami do zarządzania zasobem Kubernetes z obsługą usługi Arc.
- Utwórz wystąpienie rozszerzenia usługi Azure Policy w klastrze.
- Utwórz przypisanie zasad przy użyciu jednej z definicji zasad specyficznych dla platformy Kubernetes.
Po utworzeniu przypisania zasad usługa Azure Policy zacznie sprawdzać zgodność.
Azure Monitor
Usługa Azure Monitor rozszerza kompleksową funkcjonalność zarządzania opartą na chmurze poza platformę Azure na lokalne centra danych i dostawców usług w chmurze innych niż Microsoft. Monitorowanie zbiera i monitoruje metryki, dzienniki aktywności i diagnostyki oraz zdarzenia z usług platformy Azure, zasobów z obsługą usługi Arc oraz lokalnych centrów danych i zasobów w chmurze innych firm.
Funkcje interfejsu usługi Azure Monitor obejmują:
- Pulpity nawigacyjne i skoroszyty.
- Analiza metryk za pomocą narzędzi, takich jak Eksplorator metryk lub Power BI.
- Typowe grupy akcji, które wyznaczają akcje wyzwalane przez alerty i adresatów alertów.
Szczegółowe informacje o kontenerze usługi Azure Monitor
Szczegółowe informacje o kontenerze usługi Azure Monitor zapewniają kompleksowy wgląd w stan środowiska Kubernetes, co pomaga zachować stabilność operacyjną i ciągłość działania. Metryki są zbierane na kontrolerach, węzłach i kontenerach w środowiskach Kubernetes, w tym na platformie Kubernetes z włączoną usługą Azure Arc.
Szczegółowe informacje o kontenerze zapewniają następujące możliwości:
- Zidentyfikuj kontenery uruchomione w każdym węźle klastra i ich średnie wykorzystanie procesora i pamięci, aby ułatwić wykrywanie wąskich gardeł zasobów.
- Zidentyfikuj kontenery uruchomione w poszczególnych zasobnikach, aby ułatwić śledzenie ogólnej wydajności zasobnika.
- Oceń wykorzystanie zasobów obciążeń uruchomionych na hoście, które nie są powiązane ze standardowymi procesami obsługującymi zasobnik.
- Porównaj zachowanie klastra pod średnim i najcięższym obciążeniem, aby pomóc ocenić potrzeby pojemności i oszacować maksymalne obciążenie klastra.
- Skonfiguruj alerty, aby proaktywnie powiadamiać o przekroczeniu akceptowalnych progów lub zmianie stanu kondycji klastra.
Monitorowanie klastrów Kubernetes z obsługą usługi Azure Arc
Usługa Azure Monitor Container Insights korzysta z konteneryzowanej wersji agenta usługi Azure Monitor dla systemu Linux. Ten agent działa w monitorowanym klastrze w celu zbierania metryk wydajności i dzienników z węzłów klastra i kontenerów. Agent współdziała bezpośrednio z interfejsem API metryk platformy Kubernetes i przekazuje zebrane dane na platformę Azure.
Proces implementowania usługi Azure Monitor Container Insights dla wdrożeń platformy Kubernetes z włączoną usługą Azure Arc składa się z następujących kroków wysokiego poziomu.
- Zaloguj się do dzierżawy microsoft Entra przy użyciu konta z uprawnieniami do zarządzania zasobem Kubernetes z obsługą usługi Arc.
- Zidentyfikuj identyfikator obszaru roboczego usługi Log Analytics, którego chcesz użyć.
- Utwórz wystąpienie rozszerzenia usługi Azure Monitor Container Insights w klastrze przy użyciu identyfikatora obszaru roboczego usługi Log Analytics.