Управление кластерами Kubernetes
Управление относится к способности организации применять и проверять правила для обеспечения соответствия корпоративным стандартам. Управление помогает организациям устранять риски, соблюдать корпоративные стандарты и внешние правила, а также минимизировать прерывание внедрения или инноваций.
Управление включает инициативы по планированию, настройку стратегических приоритетов и использование механизмов и процессов для управления приложениями и ресурсами. Для кластеров Kubernetes в облачной среде управление означает реализацию политик в кластерах Kubernetes и приложениях, работающих в этих кластерах.
Управление Kubernetes включает как облачную среду, так и инфраструктуру развертывания кластера, а также сами кластеры и их приложения. В этом руководстве основное внимание уделяется управлению в кластерах Kubernetes. В статье описывается и сравнивается управление кластером Kubernetes Amazon Elastic Kubernetes Service (Amazon EKS) и Служба Azure Kubernetes (AKS).
Примечание.
Эта статья является частью серии статей, которые помогают специалистам, знакомым с Amazon EKS, чтобы понять AKS.
Измерения управления Kubernetes
Три измерения определяют согласованную стратегию управления Kubernetes:
Целевые показатели описывают цели политики безопасности и соответствия требованиям, которые должны соответствовать стратегии управления. Например, целевые объекты указывают, какие пользователи могут получить доступ к кластеру Kubernetes, пространству имен или приложению, а также к реестрам контейнеров и образам, используемым в каких кластерах. Команда по операциям безопасности обычно задает эти цели в качестве первого шага в определении стратегии управления компанией.
Области подробно описывают элементы, к которым применяются целевые политики. Области должны решать все видимые компоненты Kubernetes. Области могут быть организационными подразделениями, такими как отделы, команды и группы, или среды, такие как облака, регионы или пространства имен или оба.
Директивы политики используют возможности Kubernetes для принудительного применения целевых правил в указанных область для применения политик управления.
Дополнительные сведения см. в статье о системе управления Kubernetes.
Управление в EKS и AKS
Клиенты Amazon Web Services (AWS) обычно используют Kyverno, Gatekeeper или другие сторонние решения для определения и реализации стратегии управления для кластеров Amazon EKS. Репозиторий GitHub aws-eks-best-practices/policies содержит коллекцию примеров политик для Kyverno и Gatekeeper.
Клиенты Azure также могут использовать Kyverno или Gatekeeper, а также использовать Политика Azure надстройки Kubernetes для расширения вратаря для стратегии управления AKS.
Привратник
Cloud Native Computing Foundation (CNCF) спонсирует контроллер политики шлюза с открытым исходным кодом для Kubernetes для применения политик в кластерах Kubernetes . Gatekeeper — это контроллер допуска Kubernetes, который применяет политики, созданные с помощью агента открытых политик (OPA), подсистемы политики общего назначения.
OPA использует высокоуровневый декларативный язык с именем Rego для создания политик, которые могут запускать модули pod из клиентов на отдельных экземплярах или в разных приоритетах. Общие политики OPA см. в библиотеке OPA Gatekeeper.
Kyverno
CNCF также спонсирует проект Kyverno с открытым исходным кодом для применения политик в кластерах Kubernetes. Kyverno — это подсистема политики Kubernetes, которая может проверять, изменять и создавать конфигурации ресурсов Kubernetes с помощью политик.
С помощью Kyverno можно определить политики и управлять ими как ресурсы Kubernetes без использования нового языка. Этот подход позволяет использовать знакомые инструменты, такие как kubectl, git и kustomize для управления политиками.
Kyverno использует kustomizeналожения стилей для проверки, поддерживает исправление JSON и стратегическое исправление слияния для изменения и может клонировать ресурсы в пространствах имен на основе гибких триггеров. Политики можно развертывать по отдельности с помощью манифестов YAML или пакета и их развертывания с помощью диаграмм Helm.
Kyverno, в отличие от Gatekeeper или Политика Azure для AKS, может создавать новые объекты Kubernetes с политиками, а не просто проверять или изменять существующие ресурсы. Например, можно определить политику Kyverno, чтобы автоматизировать создание политики сети по умолчанию для любого нового пространства имен.
Дополнительные сведения см. в официальном руководстве по установке Kyverno. Список готовых или настраиваемых политик см. в библиотеке политик Kyverno. Справочник по устранению неполадок (например , вызовы веб-перехватчика APIServer) см. в документации по устранению неполадок Kyverno.
При необходимости можно развернуть реализацию Kubernetes Pod Security Standards (PSS) Kyverno в качестве политик Kyverno. Элементы управления PSS предоставляют отправную точку для общего обеспечения операционной безопасности кластера Kubernetes.
надстройка Политика Azure для AKS
Надстройка Политика Azure для AKS расширяет вратарь для применения в масштабе принудительного применения и защиты в кластерах AKS в централизованном и согласованном режиме. Политика Azure обеспечивает централизованное управление соответствием и отчеты для нескольких кластеров Kubernetes из одного расположения. Эта возможность делает управление и управление мультикластерными средами более эффективным, чем развертывание и управление Kyverno или Gatekeeper для каждого кластера.
Надстройка Политика Azure для AKS принимает следующие функции:
- Проверяет наличие службы Политика Azure назначения политик в кластере.
- развертывает определения политик в кластере как шаблоны ограничения и настраиваемые ресурсы ограничения.
- Возвращает сведения о аудите и соответствии Политика Azure службе.
Надстройка Политика Azure поддерживает кластерные среды Kubernetes с поддержкой AKS и Azure Arc. Дополнительные сведения см. в статье Основные сведения о Политике Azure для кластеров Kubernetes. Чтобы установить надстройку на новых и существующих кластерах, см. статью "Установка надстройки Политика Azure для AKS".
После установки надстройки Политика Azure для AKS можно применить к кластеру AKS отдельные определения политик или группы определений политик. Вы можете применять и применять Политика Azure встроенные определения политик и инициатив с самого начала или создавать и назначать собственные определения настраиваемой политики. Встроенные политики безопасности Политика Azure помогают повысить уровень безопасности кластера AKS, применить стандарты организации и оценить соответствие в масштабе.
Соавторы
Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.
Основные авторы:
- Мартин Gjoшевски | Старший инженер службы
- Паоло Сальватори | Инженер основной службы
Другие участник:
- Чад Киттель | Главный инженер программного обеспечения
- Эд Прайс | Старший диспетчер программ содержимого
- Теано Питерсен | Технический писатель
Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.
Следующие шаги
- AKS для специалистов Amazon EKS
- Управление удостоверениями и доступом Kubernetes
- Мониторинг и ведение журнала Kubernetes
- Безопасный сетевой доступ к Kubernetes
- параметры служба хранилища для кластера Kubernetes
- Управление затратами для Kubernetes
- Управление узлами и пулом узлов Kubernetes
Связанные ресурсы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по