Управление кластерами Kubernetes

Управление относится к способности организации применять и проверять правила, помогающие гарантировать соответствие корпоративным стандартам. Управление помогает организациям устранять риски, соблюдать корпоративные стандарты и внешние правила, а также минимизировать прерывание внедрения или инноваций.

Управление включает инициативы по планированию, настройку стратегических приоритетов и использование механизмов и процессов для управления приложениями и ресурсами. Для кластеров Kubernetes в облачной среде управление означает реализацию политик в кластерах Kubernetes и приложениях, работающих в этих кластерах.

Управление Kubernetes включает в себя облачную среду, инфраструктуру развертывания кластера, сами кластеры и приложения кластеров. В этом руководстве основное внимание уделяется управлению в кластерах Kubernetes. В этой статье сравниваются службы Amazon Elastic Kubernetes (EKS) и Azure Kubernetes Service (AKS) управления кластерами Kubernetes.

Примечание.

Эта статья является частью серии статей, которые помогают специалистам, знакомым с Amazon EKS, понять Службу Azure Kubernetes (AKS).

Управленческие измерения Kubernetes

Три аспекта определяют согласованную стратегию управления Kubernetes:

• Целевые показатели определяют цели политики безопасности и соответствия требованиям для стратегии управления. Например, целевые объекты могут указать, какие пользователи могут получить доступ к кластеру Kubernetes, пространству имен или приложению. Кроме того, они могут указать, какие реестры контейнеров и образы следует использовать в кластерах. Команда по операциям безопасности обычно задает эти целевые показатели в качестве первого шага, чтобы определить стратегию управления вашей компании.

• Области подробно описывают элементы, к которым применяются целевые политики. Охваты должны затрагивать все видимые компоненты Kubernetes. Области включают в себя подразделения, такие как отделы, команды и группы или среды, такие как облака, регионы или пространства имен.

• Директивы политики используют возможности Kubernetes для принудительного применения целевых правил в указанных областях, что помогает применять политики управления.

Дополнительные сведения см. в разделе "Управление Kubernetes".

Управление в EKS и AKS

• Клиенты Amazon Web Services (AWS) обычно используют Kyverno, Gatekeeper или другие партнерские решения для определения и реализации стратегии управления для кластеров Amazon EKS. Репозиторий GitHub aws-eks-best-practices/policies содержит коллекцию примеров политик для Kyverno и Gatekeeper.

• Клиенты Azure также могут использовать Kyverno или Gatekeeper. Чтобы расширить Gatekeeper для стратегии управления в AKS, можно использовать надстройку "Политика Azure для Kubernetes".

Привратник

Cloud Native Computing Foundation (CNCF) спонсирует инструмент с открытым исходным кодом Gatekeeper, который помогает применять политики в кластерах Kubernetes. Gatekeeper — это контроллер допуска Kubernetes, который помогает применять политики, создаваемые с помощью агента открытых политик (OPA), подсистемы политики общего назначения.

OPA использует высокоуровневый декларативный язык с именем Rego для создания политик, которые могут запускать модули pod из клиентов на отдельных экземплярах или в разных приоритетах. Общие политики OPA см. в библиотеке OPA Gatekeeper.

Kyverno

CNCF также спонсирует проект Kyverno с открытым исходным кодом, который помогает применять политики в кластерах Kubernetes. Kyverno — это подсистема политик Kubernetes, которая может использовать политики для проверки, изменения и создания конфигураций ресурсов Kubernetes.

Используйте Kyverno для определения политик и управления ими в качестве ресурсов Kubernetes без использования нового языка. Вы можете управлять политиками с помощью знакомых средств, таких как kubectl, git и kustomize.

Kyverno имеет следующие функции:

• Использует наложения типа kustomize для проверки
• Поддерживает JSON-патч и стратегический патч слияния для модификации
• Клонирует ресурсы между пространствами имен на основе гибких триггеров

Чтобы развернуть политики по отдельности, используйте YAML манифесты политики. Чтобы упаковать и развернуть политики, используйте диаграммы Helm.

В отличие от Gatekeeper или Политики Azure для AKS, Kyverno может использовать политики для создания новых объектов Kubernetes, а не только проверки или мутирования существующих ресурсов. Например, можно определить политику Kyverno, чтобы автоматизировать создание политики сети по умолчанию для новых пространств имен.

• Дополнительные сведения см. в руководстве по установке Kyverno.
• Список готовых или настраиваемых политик см. в библиотеке политик Kyverno.
• Рекомендации по устранению неполадок, например вызовы веб-перехватчика APIServer, см. в разделе "Устранение неполадок Kyverno".

При желании можно развернуть реализацию Kubernetes Pod Security Standards в виде политик Kyverno. Элементы управления стандартами безопасности Pod предоставляют отправную точку для общего обеспечения операционной безопасности кластера Kubernetes.

Надстройка политики Azure для AKS

Надстройка политики Azure для AKS расширяет Вратарь, который является веб-перехватчиком контроллера допуска для OPA. Эта надстройка применяется в масштабируемом режиме и защищает компоненты кластера в централизованном и согласованном режиме. Компоненты кластера включают Pods, контейнеры и пространства имен. Политика Azure обеспечивает централизованное управление соответствием и отчеты для нескольких кластеров Kubernetes. Эта возможность упрощает управление и управление многокластерными средами по сравнению с развертыванием и управлением Kyverno или Gatekeeper для каждого кластера.

Надстройка политики Azure для AKS выполняет следующие функции:

• Она использует политику Azure для проверки назначений политик в кластере.

• Он развертывает определения политик в кластере в виде шаблонов ограничений и пользовательских ресурсов.

• Он сообщает сведения об аудите и соответствии требованиям обратно в политику Azure.

Надстройка политики Azure совместима с кластерами AKS и средами Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в статье Основные сведения о Политике Azure для кластеров Kubernetes.

Чтобы установить надстройку на новых и существующих кластерах, следуйте инструкциям по установке.

После установки надстройки политики Azure для AKS можно применить отдельные определения политик или группы определений политик, которые называются инициативами, к кластеру AKS. Вы можете применить встроенные определения политик и инициатив в политике Azure с самого начала. Вы также можете создать и назначить собственные определения настраиваемой политики, выполнив необходимые действия. Встроенные политики безопасности Azure повышают уровень безопасности кластера AKS, применяют стандарты организации и оценивают соответствие в масштабе.

Соавторы

Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.

Основные авторы:

• Паоло Сальватори | Инженер основной службы
• Мартин Gjoшевски | Старший инженер службы

Другие участники:

• Чад Киттель | Главный инженер по программному обеспечению — шаблоны и методики Azure
• Эд Прайс | Старший диспетчер программ содержимого
• Теано Питерсен | Технический писатель

Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

• Политика для Kubernetes
• Защита кластера AKS с помощью политики Azure
• Дисциплины управления для AKS
• OPA Gatekeeper: Политика и управление для Kubernetes

Связанные ресурсы

• AKS для специалистов Amazon EKS
• Управление удостоверениями и доступом Kubernetes
• Мониторинг и ведение журнала Kubernetes
• Безопасный сетевой доступ к Kubernetes
• Параметры хранилища для кластера Kubernetes
• Управление затратами для Kubernetes
• Управление узлами и пулом узлов Kubernetes