Compartilhar via


Política do Azure no AKS habilitada pelo Azure Arc

Aplica-se ao: AKS no Azure Local 22H2, AKS no Windows Server

Este artigo fornece diretrizes sobre como aplicar políticas do Azure a clusters de gerenciamento e recomendações para implantar o AKS habilitado pelo Arc.

Práticas recomendadas no uso de políticas do Azure

As políticas do Azure são definidas no nível da assinatura. Por padrão, as políticas se aplicam a clusters de gerenciamento e de destino/carga de trabalho.

Assinaturas diferentes para ambientes diferentes

Antes de iniciar uma política em produção, uma prática recomendada é testá-la em um ambiente de pré-produção. Como as políticas são definidas no nível da assinatura, é melhor manter os ambientes de pré-produção e produção em assinaturas separadas.

Teste de política no modo de auditoria

Antes de impor uma política em ambientes de pré-produção ou produção, verifique sua funcionalidade no modo de auditoria.

Considerações para aplicar políticas do Azure a clusters de gerenciamento do Kubernetes

Você não deve habilitar o modo de imposição para a política do Azure em clusters de gerenciamento, pois os clusters de gerenciamento não executam cargas de trabalho do cliente. A aplicação das políticas do Azure pode fazer com que alguns pods não iniciem.

Desative o modo de aplicação em clusters de gerenciamento

O cluster de gerenciamento e o cluster de destino, estando na mesma assinatura, herdam as mesmas políticas do Azure por padrão. Para impedir que os clusters de gerenciamento executem políticas do Azure no modo de imposição, coloque o gerenciamento e os clusters de destino em diferentes grupos de recursos e aplique uma política de exclusão ao grupo de recursos do cluster de gerenciamento. Para obter mais informações sobre o aplicativo de política de exclusão, consulte Estrutura de isenção do Azure Policy.

Monitore os clusters de gerenciamento

As políticas do Azure são principalmente para validação declarativa de conformidade, não para detecção de ameaças baseada em comportamento. Se houver preocupação com a postura de segurança do cluster de gerenciamento, uma ferramenta de monitoramento de ameaças para acompanhar atividades suspeitas deverá ser avaliada.

Próximas etapas

Conceitos de segurança no AKS habilitados pelo Arc