Поделиться через


Управление кластерами Kubernetes

Управление относится к способности организации применять и проверять правила для обеспечения соответствия корпоративным стандартам. Управление помогает организациям устранять риски, соблюдать корпоративные стандарты и внешние правила, а также минимизировать прерывание внедрения или инноваций.

Управление включает инициативы по планированию, настройку стратегических приоритетов и использование механизмов и процессов для управления приложениями и ресурсами. Для кластеров Kubernetes в облачной среде управление означает реализацию политик в кластерах Kubernetes и приложениях, работающих в этих кластерах.

Управление Kubernetes включает как облачную среду, так и инфраструктуру развертывания кластера, а также сами кластеры и их приложения. В этом руководстве основное внимание уделяется управлению в кластерах Kubernetes. В статье описывается и сравнивается управление кластером Kubernetes Amazon Elastic Kubernetes Service (Amazon EKS) и Служба Azure Kubernetes (AKS).

Примечание.

Эта статья является частью серии статей, которые помогают специалистам, знакомым с Amazon EKS, чтобы понять, Служба Azure Kubernetes (AKS).

Измерения управления Kubernetes

Три измерения определяют согласованную стратегию управления Kubernetes:

  • Целевые показатели описывают цели политики безопасности и соответствия требованиям, которые должны соответствовать стратегии управления. Например, целевые объекты указывают, какие пользователи могут получить доступ к кластеру Kubernetes, пространству имен или приложению, а также к реестрам контейнеров и образам, используемым в каких кластерах. Команда по операциям безопасности обычно задает эти цели в качестве первого шага в определении стратегии управления компанией.

  • Области подробно описывают элементы, к которым применяются целевые политики. Области должны решать все видимые компоненты Kubernetes. Области могут быть организационными подразделениями, такими как отделы, команды и группы, или среды, такие как облака, регионы или пространства имен или оба.

  • Директивы политики используют возможности Kubernetes для принудительного применения целевых правил в указанных областях для применения политик управления.

Дополнительные сведения см. в статье о системе управления Kubernetes.

Управление в EKS и AKS

  • Клиенты Amazon Web Services (AWS) обычно используют Kyverno, Gatekeeper или другие сторонние решения для определения и реализации стратегии управления для кластеров Amazon EKS. Репозиторий GitHub aws-eks-best-practices/policies содержит коллекцию примеров политик для Kyverno и Gatekeeper.

  • Клиенты Azure также могут использовать Kyverno или Gatekeeper, а также использовать Политика Azure надстройки Kubernetes для расширения вратаря для стратегии управления AKS.

Привратник

Cloud Native Computing Foundation (CNCF) спонсирует контроллер политики шлюза с открытым исходным кодом для Kubernetes для применения политик в кластерах Kubernetes . Gatekeeper — это контроллер допуска Kubernetes, который применяет политики, созданные с помощью агента открытых политик (OPA), подсистемы политики общего назначения.

OPA использует высокоуровневый декларативный язык с именем Rego для создания политик, которые могут запускать модули pod из клиентов на отдельных экземплярах или в разных приоритетах. Общие политики OPA см. в библиотеке OPA Gatekeeper.

Kyverno

CNCF также спонсирует проект Kyverno с открытым исходным кодом для применения политик в кластерах Kubernetes. Kyverno — это подсистема политики Kubernetes, которая может проверять, изменять и создавать конфигурации ресурсов Kubernetes с помощью политик.

С помощью Kyverno можно определить политики и управлять ими как ресурсы Kubernetes без использования нового языка. Этот подход позволяет использовать знакомые инструменты, такие как kubectl, git и kustomize для управления политиками.

Kyverno использует kustomizeналожения стилей для проверки, поддерживает исправление JSON и стратегическое исправление слияния для изменения и может клонировать ресурсы в пространствах имен на основе гибких триггеров. Политики можно развертывать по отдельности с помощью манифестов YAML или пакета и их развертывания с помощью диаграмм Helm.

Kyverno, в отличие от Gatekeeper или Политика Azure для AKS, может создавать новые объекты Kubernetes с политиками, а не просто проверять или изменять существующие ресурсы. Например, можно определить политику Kyverno, чтобы автоматизировать создание политики сети по умолчанию для любого нового пространства имен.

Дополнительные сведения см. в официальном руководстве по установке Kyverno. Список готовых или настраиваемых политик см. в библиотеке политик Kyverno. Справочник по устранению неполадок (например , вызовы веб-перехватчика APIServer) см. в документации по устранению неполадок Kyverno.

При необходимости можно развернуть реализацию Kubernetes Pod Security Standards (PSS) Kyverno в качестве политик Kyverno. Элементы управления PSS предоставляют отправную точку для общего обеспечения операционной безопасности кластера Kubernetes.

надстройка Политика Azure для AKS

Надстройка Политика Azure для AKS расширяет вратарь для применения в масштабе принудительного применения и защиты в кластерах AKS централизованно, согласованно. Политика Azure обеспечивает централизованное управление соответствием и отчеты для нескольких кластеров Kubernetes из одного расположения. Эта возможность делает управление и управление мультикластерными средами более эффективным, чем развертывание и управление Kyverno или Gatekeeper для каждого кластера.

Надстройка Политика Azure для AKS принимает следующие функции:

  • Проверяет наличие службы Политика Azure назначения политик в кластере.
  • развертывает определения политик в кластере как шаблоны ограничения и настраиваемые ресурсы ограничения.
  • Возвращает сведения о аудите и соответствии Политика Azure службе.

Надстройка Политика Azure поддерживает кластерные среды Kubernetes с поддержкой AKS и Azure Arc. Дополнительные сведения см. в статье Основные сведения о Политике Azure для кластеров Kubernetes. Чтобы установить надстройку на новых и существующих кластерах, см. статью "Установка надстройки Политика Azure для AKS".

После установки надстройки Политика Azure для AKS можно применить к кластеру AKS отдельные определения политик или группы определений политик. Вы можете применять и применять Политика Azure встроенные определения политик и инициатив с самого начала или создавать и назначать собственные определения настраиваемой политики. Встроенные политики безопасности Политика Azure помогают повысить уровень безопасности кластера AKS, применить стандарты организации и оценить соответствие в масштабе.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Основные авторы:

Другие участники:

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги