Verificar o status de conformidade usando a Política do Azure
Na seção anterior, você viu como as políticas do Azure podem ser usadas para controlar facilmente seu cluster usando uma Política e Iniciativa interna. Também observamos que a política não encerra pods já existentes. Queremos descobrir pods não conformes para que possamos tomar medidas sobre eles. Neste exercício, fazemo-lo.
Nota
Este exercício é opcional. Se quiser concluir este exercício, terá de criar uma subscrição do Azure antes de começar. Se você não tiver uma conta do Azure ou não quiser criar uma no momento, leia as instruções para entender as informações que estão sendo apresentadas.
Usando o portal do Azure para ver pods não compatíveis
Vá para a página Política no portal do Azure.
Na parte superior, você pode definir o escopo para seu grupo de recursos de cluster clicando no botão .... Selecione a Assinatura e o grupo de recursos onde o cluster do Serviço Kubernetes do Azure (AKS) está instalado e escolha Selecionar na parte inferior da página.
Nota
Pode levar alguns minutos para que os pods não compatíveis apareçam no portal.
Aqui vemos que temos recursos não conformes tanto para a Política quanto para a Iniciativa que implantamos. Os recursos não são compatíveis com três das políticas dos padrões restritos de segurança do pod de cluster do Kubernetes para cargas de trabalho baseadas em Linux para a iniciativa videogamerg . A seleção dessa iniciativa mostra quais das oito políticas são as três que não estão em conformidade.
Selecione os contêineres de cluster do Kubernetes devem usar apenas imagens permitidas Política. Você vê o cluster que tem o pod não compatível nele
Selecione o cluster para obter mais detalhes sobre qual pod não é compatível. Aqui você vê o nome do pod específico que não está em conformidade. Você vê que é apenas o primeiro pod que foi implantado que não é compatível. Você pode ver que a exibição dessas páginas de política é uma maneira eficaz de auditar o status de conformidade do seu cluster.
Remova o pod não compatível e verifique novamente a conformidade
Agora que encontramos o pod que não está em conformidade, podemos ir em frente e excluir esse pod. Depois que o pod é excluído, a Política impede que pods futuros que não estejam em conformidade com ele sejam implantados. Os padrões restritos de segurança do pod de cluster do Kubernetes para cargas de trabalho baseadas em Linux para a iniciativa videogamerg estão definidos para auditoria, o que significa que podemos identificar pods que não são compatíveis, mas não impediriam que os pods fossem implantados. Fazer com que nossos pods cumpram essa iniciativa está além do escopo deste curso, então aqui nos concentramos em corrigir a Política que definimos para ter o efeito de negação .
Abra o Cloud Shell novamente e exclua a implantação não compatível.
kubectl delete deployment simple-nginx
Pode levar até 45 minutos para que as alterações reflitam no portal. Depois de esperar, volte para a Política para ver se ainda há algum pods incompatível sob ela. Você acha que seu cluster agora está em conformidade com a Política.
Resumo
Nesta unidade, você aprendeu sobre como usar o portal do Azure para identificar pods que não estão em conformidade com suas políticas. Em seguida, você foi em frente e excluiu um pod que não estava em conformidade com uma das políticas. Você também aprendeu como solucionar problemas de suas implantações e identificar pods que não estão sendo implantados devido a uma política de negação. Você aprendeu como usar o portal do Azure para ver recursos não compatíveis e com quais políticas eles não estão em conformidade. Você também resolveu um dos problemas excluindo o pod incompatível que você criou primeiro. Agora que você sabe como adicionar e testar uma Política e uma Iniciativa, você pode percorrer as outras políticas incorporadas do Kubernetes para encontrar as que atendem às suas necessidades de negócios.