Políticas incorporadas para o AKS
Agora que você criou um cluster do Serviço Kubernetes do Azure (AKS) com o complemento de política habilitado, precisa encontrar as definições de política que deseja atribuir ao seu ambiente. Nesta seção, você aprenderá a descobrir políticas e, na próxima seção, percorrerá um exemplo de como atribuir essas políticas.
Tipos de Políticas do Azure para AKS
Há dois tipos de Políticas do Azure que podem ser aplicadas ao AKS: políticas de cluster ou políticas de carga de trabalho.
As políticas de cluster abrangem o cluster em si, não a carga de trabalho em execução no cluster. Você configuraria essas políticas para impor a configuração do cluster. Exemplos dessas políticas incluem Intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes e o Controle de Acesso Baseado em Função (RBAC) deve ser usado nos Serviços do Kubernetes.
As políticas de carga de trabalho abrangem os aplicativos em execução no cluster. As políticas de carga de trabalho são usadas para impor a configuração dentro do cluster Kubernetes. Essas políticas dependem da política do Azure para que o complemento Kubernetes funcione corretamente. Exemplos dessas políticas incluem que os contêineres de cluster do Kubernetes devem usar apenas imagens permitidas e os pods de cluster do Kubernetes devem usar apenas os tipos de volume permitidos.
É útil pensar nas políticas do Azure para Kubernetes desta maneira: elas permitem distinguir entre as políticas que afetam o cluster e o aplicativo em execução no cluster. Vale a pena notar que esses diferentes tipos de política não são distinguidos durante a descoberta da política.
Descobrindo políticas internas do Azure para Kubernetes
Há duas maneiras de descobrir políticas internas do Azure para Kubernetes:
- Use a documentação do Azure, que detalha as políticas internas.
- Use a folha de política do Azure no portal do Azure, vá para definições e filtre na categoria Kubernetes.
Você pode atribuir uma ou várias dessas definições de política aos seus grupos de gerenciamento, assinaturas ou grupos de recursos. Na próxima unidade, você segue um exercício que irá orientá-lo sobre como fazer isso.
Iniciativa política: Padrões de linha de base de segurança do pod de cluster Kubernetes para cargas de trabalho baseadas em Linux
A Política do Azure para Kubernetes também tem várias iniciativas de política. Uma iniciativa política é um conjunto de definições políticas. Duas das iniciativas para o Kubernetes são:
- Padrões de linha de base de segurança de pod de cluster do Kubernetes para cargas de trabalho baseadas em Linux
- Padrões restritos de segurança do pod de cluster do Kubernetes para cargas de trabalho baseadas em Linux
A versão de linha de base inclui cinco definições de política focadas em fornecer uma linha de base de segurança para suas cargas de trabalho do Kubernetes. A versão restrita inclui um total de oito definições de política para ambientes com mais restrições de segurança.
Você pode atribuir essas iniciativas aos seus grupos de Gerenciamento do Azure, Assinaturas ou Grupos de Recursos com um cluster AKS para impor uma linha de base de segurança consistente.