Общие сведения о политике Azure для кластеров Kubernetes

Политика Azure расширяет Gatekeeper v3, веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы обеспечить централизованное и согласованное применение масштабных ограничений и мер безопасности в кластерах. Политика Azure позволяет управлять состоянием соответствия кластеров Kubernetes и сообщать о нем из одного места. Эта надстройка выполняет следующие функции:

• проверяет назначения политик в кластере с помощью службы Политики Azure;
• развертывает определения политик в кластере как шаблоны ограничения и настраиваемые ресурсы ограничения.
• Сообщает службе Политики Azure сведения об аудите и соответствии.

Политика Azure для Kubernetes поддерживает следующие кластерные среды:

• Служба Azure Kubernetes (AKS)
• Kubernetes с поддержкой Azure Arc

Важно!

Модель Helm надстройки Политики Azure и надстройка для обработчика AKS объявлены нерекомендуемыми. Ниже приведены инструкции по удалению этих надстроек.

Обзор

Чтобы включить и использовать Политику Azure с кластером Kubernetes, выполните следующие действия.

1. Настройка кластера Kubernetes и установка надстройки Службы Azure Kubernetes (AKS)

   Примечание

   Распространенные проблемы с установкой описаны в статье Устранение неполадок в надстройке политики Azure.

2. Общие сведения о языке Политики Azure для Kubernetes

3. Назначение определения кластеру Kubernetes

4. Ожидание проверки

Ограничения

К надстройке политики Azure для кластеров Kubernetes применяются следующие общие ограничения:

• Надстройка политики Azure для Kubernetes поддерживается в Kubernetes версии 1.14 или более поздней.
• Надстройку политики Azure для Kubernetes можно развернуть только в пулах узлов Linux.
• Поддерживаются только встроенные определения политик. Пользовательские определения политик являются это общедоступными функциями предварительной версии.
• Максимальное количество модулей pod, поддерживаемое надстройкой политики Azure: 10 000
• Максимальное число несоответствующих записей в каждой политике на один кластер: 500.
• Максимальное число несоответствующих записей на подписку: 1 миллион.
• Параметры Gatekeeper вне функционала надстройки политики Azure не поддерживаются. Перед включением надстройки политики Azure удалите все компоненты, установленные Gatekeeper в прошлый раз.
• В Microsoft.Kubernetes.Dataрежиме поставщика ресурсов не предусмотрены причины несоответствия требованиям. Используйте Сведения о компоненте.
• Компонентные исключения не поддерживаются для режимов поставщика ресурсов.

Следующие ограничения применяются только к надстройке политики Azure для AKS:

• Не удается включить политику безопасности AKS Pod и надстройку политики Azure для AKS одновременно. Дополнительные сведения см. в разделе ограничение безопасности AKS Pod.
• Пространства имен автоматически исключаются надстройкой Политика Azure для оценки: kube-system и gatekeeper-system.

Рекомендации

Ниже приведены общие рекомендации по использованию надстройки политики Azure.

• Для работы надстройки Политики Azure требуется три компонента Gatekeeper: один pod аудита и две реплики pod веб-перехватчика. Эти компоненты потребляют больше ресурсов, так как количество ресурсов Kubernetes и задач политик в кластере увеличивается, что в свою очередь требует выполнения операций аудита и принудительного применения.

  • Если в одном кластере меньше 500 pod и не более 20 ограничений: два виртуальных ЦП и 350 МБ памяти на один компонент.
  • Если в одном кластере больше 500 pod и не более 40 ограничений: три виртуальных ЦП и 600 МБ памяти на один компонент.

• Pod-модули Windows не поддерживают контексты безопасности. Таким образом, некоторые определения политик Azure, такие как запрет привилегий суперпользователя, не применимы для pod-объектов Windows, а применимы только в Linux.

Следующие рекомендации применимы только к AKS и надстройке политики Azure.

• Используйте пул системных узлов с отметкой CriticalAddonsOnly для планирования pod-модулей Gatekeeper. Дополнительные сведения см. в разделе Использование пулов системных узлов.
• Защита исходящего трафика кластера AKS Дополнительные сведения см. в разделе Управление исходящим трафиком для узлов кластера.
• При включенном в кластере aad-pod-identity pod-модули Node Managed Identity (NMI) изменяют iptables узлов для перехвата вызовов к конечной точке метаданных экземпляра Azure. Такая конфигурация обеспечивает перехват модулем NMI любого запроса к конечной точке метаданных, даже если модуль pod не использует aad-pod-identity. В AzurePodIdentityException CRD можно настроить уведомление aad-pod-identity о том, что любые запросы к конечной точке метаданных от модуля pod, соответствующего определенным в CRD меткам, следует передавать прокси-серверу без обработки в NMI. Системные модули с меткой kubernetes.azure.com/managedby: aks в пространстве имен kube-system должны быть исключены в aad-pod-identity с помощью настройки AzurePodIdentityException CRD. Дополнительные сведения см. в разделе Отключение aad-pod-identity для конкретного pod-модуля или приложения. Чтобы настроить исключение, установите mic-exception YAML.

Установка надстройки Политики Azure для AKS

Прежде чем устанавливать надстройку политики Azure или включать какие-либо функции службы, убедитесь, что ваша подписка включает поставщиков ресурсов Microsoft.PolicyInsights.

1. Необходимо установить и настроить Azure CLI версии 2.12.0 или более поздней. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI.

2. Зарегистрируйте поставщики ресурсов и предварительные версии функций.

   • Портал Azure:

     Зарегистрируйте поставщиков ресурсов Microsoft.PolicyInsights. Действия см. в Поставщики и типы ресурсов.

   • Azure CLI:

     # Log in first with az login if you're not using Cloud Shell
     
     # Provider register: Register the Azure Policy provider
     az provider register --namespace Microsoft.PolicyInsights
     

3. Если установлены определения политики ограниченной предварительной версии, удалите надстройку с помощью кнопки Отключить в кластере AKS на странице Политики.

4. Кластер AKS должен быть версии 1.14 или более новой. Используйте следующий скрипт для проверки версии кластера AKS:

   # Log in first with az login if you're not using Cloud Shell
   
   # Look for the value in kubernetesVersion
   az aks list
   

5. Установите Azure CLI версии 2.12.0 или выше. Дополнительные сведения см. в статье Установка Azure CLI.

После выполнения указанных выше предварительных требований установите надстройку "Политика Azure" в кластере AKS, которым хотите управлять.

• Портал Azure

  1. Запустите службу Azure Kubernetes на портале Azure, выбрав Все службы, а затем выполнив поиск и выбрав Службы Kubernetes.

  2. Выберите один из кластеров AKS.

  3. Выберите Политики в левой части страницы службы Kubernetes.

  4. На главной странице нажмите кнопку Включить надстройку.

• Azure CLI

  # Log in first with az login if you're not using Cloud Shell
  
  az aks enable-addons --addons azure-policy --name MyAKSCluster --resource-group MyResourceGroup
  

Чтобы убедиться, что установка надстройки прошла успешно и что объекты pod azure-policy и gatekeeper запущены, выполните следующую команду:

# azure-policy pod is installed in kube-system namespace
kubectl get pods -n kube-system

# gatekeeper pod is installed in gatekeeper-system namespace
kubectl get pods -n gatekeeper-system

Наконец, убедитесь, что последняя надстройка установлена, выполнив следующую команду Azure CLI, с заменой <rg> на имя группы ресурсов и <cluster-name> на имя кластера AKS: az aks show --query addonProfiles.azurepolicy -g <rg> -n <cluster-name>. Результат должен выглядеть примерно следующим образом.

{
        "config": null,
        "enabled": true,
        "identity": null
}

Установка расширения Политика Azure для Kubernetes с поддержкой Azure Arc

Политика Azure для Kubernetes позволяет управлять состоянием соответствия кластеров Kubernetes и сообщать о нем из одного места.

В этой статье описывается Создание, Отображение состояния расширения и Удаление политики Azure для расширения Kubernetes.

Общие сведения о платформе расширений см. в разделе Расширения кластера Azure Arc.

Предварительные требования

Примечание. Если вы уже развернули политику Azure для Kubernetes в кластере Azure Arc с помощью Helm напрямую без расширений, следуйте инструкциям, приведенным в разделе Удаление диаграммы Helm. После завершения удаления можно продолжать.

1. Убедитесь, что дистрибутив кластера Kubernetes поддерживается.

   Примечание. Политика Azure для расширения Arc поддерживается в следующих дистрибутивах Kubernetes.

2. Убедитесь, что для расширений Kubernetes выполнены все общие предварительные требования, перечисленные здесь, включая Подключение кластера к Azure Arc.

   Примечание. Расширение политики Azure поддерживается для кластеров Kubernetes с поддержкой Arc в этих регионах.

3. Откройте порты для расширения политики Azure. Расширение политики Azure использует эти домены и порты для выборки определений и назначений политик, а также для создания отчетов о соответствии кластера, возвращаемых Политике Azure.

   Домен	Порт
   data.policy.core.windows.net	443
   store.policy.core.windows.net	443
   login.windows.net	443
   dc.services.visualstudio.com	443

4. Прежде чем устанавливать расширение политики Azure или включать какие-либо функции службы, убедитесь, что ваша подписка включает поставщиков ресурсов Microsoft.PolicyInsights.

   Примечание. Чтобы включить поставщик ресурсов, выполните действия, описанные в статье Поставщики и типы ресурсов, или выполните команду Azure CLI или Azure PowerShell:

   • Azure CLI

     # Log in first with az login if you're not using Cloud Shell
     # Provider register: Register the Azure Policy provider
     az provider register --namespace 'Microsoft.PolicyInsights'
     

   • Azure PowerShell

     # Log in first with Connect-AzAccount if you're not using Cloud Shell
     
     # Provider register: Register the Azure Policy provider
     Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
     

Создание расширения политики Azure

Обратите внимание на следующие сведения о создании расширения политики Azure.

• Автоматическое обновление включено по умолчанию, что означает, что при развертывании каких-либо новых изменений дополнительный номер версии расширения политики Azure будет обновляться.
• Все переменные прокси, переданные в качестве параметров в connectedk8s, будут распространены на расширение политики Azure для поддержки исходящего прокси-сервера.

Чтобы создать экземпляр расширения для кластера с поддержкой Arc, выполните следующую команду, подставив в <> свои значения:

az k8s-extension create --cluster-type connectedClusters --cluster-name <CLUSTER_NAME> --resource-group <RESOURCE_GROUP> --extension-type Microsoft.PolicyInsights --name <EXTENSION_INSTANCE_NAME>

Пример

az k8s-extension create --cluster-type connectedClusters --cluster-name my-test-cluster --resource-group my-test-rg --extension-type Microsoft.PolicyInsights --name azurepolicy

Пример выходных данных:

{
  "aksAssignedIdentity": null,
  "autoUpgradeMinorVersion": true,
  "configurationProtectedSettings": {},
  "configurationSettings": {},
  "customLocationSettings": null,
  "errorInfo": null,
  "extensionType": "microsoft.policyinsights",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/my-test-rg/providers/Microsoft.Kubernetes/connectedClusters/my-test-cluster/providers/Microsoft.KubernetesConfiguration/extensions/azurepolicy",
 "identity": {
    "principalId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
    "tenantId": null,
    "type": "SystemAssigned"
  },
  "location": null,
  "name": "azurepolicy",
  "packageUri": null,
  "provisioningState": "Succeeded",
  "releaseTrain": "Stable",
  "resourceGroup": "my-test-rg",
  "scope": {
    "cluster": {
      "releaseNamespace": "kube-system"
    },
    "namespace": null
  },
  "statuses": [],
  "systemData": {
    "createdAt": "2021-10-27T01:20:06.834236+00:00",
    "createdBy": null,
    "createdByType": null,
    "lastModifiedAt": "2021-10-27T01:20:06.834236+00:00",
    "lastModifiedBy": null,
    "lastModifiedByType": null
  },
  "type": "Microsoft.KubernetesConfiguration/extensions",
  "version": "1.1.0"
}

Отображение расширения политики Azure

Чтобы проверить успешность создания экземпляра расширения и проверить метаданные расширения, выполните следующую команду, подставив в <> свои значения:

az k8s-extension show --cluster-type connectedClusters --cluster-name <CLUSTER_NAME> --resource-group <RESOURCE_GROUP> --name <EXTENSION_INSTANCE_NAME>

Пример

az k8s-extension show --cluster-type connectedClusters --cluster-name my-test-cluster --resource-group my-test-rg --name azurepolicy

Чтобы убедиться, что установка расширения прошла успешно и что объекты pod azure-policy и gatekeeper запущены, выполните следующую команду:

# azure-policy pod is installed in kube-system namespace
kubectl get pods -n kube-system

# gatekeeper pod is installed in gatekeeper-system namespace
kubectl get pods -n gatekeeper-system

Удаление расширения политики Azure

Чтобы удалить экземпляр расширения, выполните следующую команду, подставив в <> свои значения:

az k8s-extension delete --cluster-type connectedClusters --cluster-name <CLUSTER_NAME> --resource-group <RESOURCE_GROUP> --name <EXTENSION_INSTANCE_NAME>

Язык политики

Языковая структура Политики Azure для управления Kubernetes соответствует языковой структуре существующих определений политик. В режиме поставщика ресурсовMicrosoft.Kubernetes.Data для управления кластерами Kubernetes используются эффекты аудит и запретить. Эффекты аудит и запретить должны предоставлять свойства сведений, относящиеся к работе с OPA Constraint Framework и Gatekeeper v3.

Политика Azure передает URI или значение Base64Encoded этих CustomResourceDefinitions (CRD) надстройке в составе свойств details.templateInfo, details.constraint или details.constraintTemplate в определении политики. Rego — это язык, поддерживаемый OPA и Gatekeeper для проверки запросов к кластеру Kubernetes. Поддерживая существующий стандарт управления Kubernetes, Политика Azure позволяет повторно использовать существующие правила и объединять их с Политикой Azure для формирования унифицированной отчетности о совместимости с облачными технологиями. Дополнительные сведения о Rego см. в этой статье.

Назначение определения политики

Чтобы назначить определение политики кластеру Kubernetes, необходимо назначить соответствующие операции назначения политики управления доступом Azure на основе ролей (Azure RBAC). Встроенные роли Azure Участник политики ресурсов и Владелец включают эти операции. Дополнительные сведения см. в Разрешения Azure RBAC в политике Azure.

Чтобы найти встроенные политики для управления кластером с помощью портала Azure, выполните следующие действия. Если используется пользовательское определение политики, выполните поиск по имени или категории, в которой она была создана.

1. Запустите службу Политики Azure на портале Azure. На панели слева выберите Все службы, а затем выполните поиск по запросу Политика и выберите этот пункт.

2. Выберите Определения на левой панели страницы "Политика Azure".

3. В раскрывающемся списке "Категория" щелкните Выбрать все, чтобы очистить фильтр, а затем выберите Kubernetes.

4. Выберите определение политики, а затем нажмите кнопку Назначить.

5. Задайте в качестве Области группу управления, подписку или группу ресурсов кластера Kubernetes, к которым будет применяться назначение политики.

   Примечание

   При назначении политики Azure для определения Kubernetes Область должна включать ресурс кластера.

6. Присвойте назначению политики Имя и Описание, по которым его можно будет легко отличить.

7. Задайте одно из следующих значений в поле Принудительное применение политики.

   • Включено — принудительно применить политику в кластере. Запросы на допуск Kubernetes с нарушениями отклоняются.

   • Отключено — не выполнять принудительного применения политики в кластере. Запросы на допуск Kubernetes с нарушениями не отклоняются. Результаты оценки соответствия по-прежнему доступны. При развертывании новых определений политик в работающих кластерах параметр Отключено может оказаться полезным для тестирования определений политик, так как запросы на допуск с нарушениями не будут отклоняться.

8. Выберите Далее.

9. Установка значений параметра

   • Чтобы исключить пространства имен Kubernetes из оценки политики, укажите список пространств имен в параметре Исключения пространства имен. Рекомендуется исключить следующие пространства имен: kube-system, gatekeeper-system и azure-arc.

10. Выберите Review + create (Просмотреть и создать).

Или воспользуйтесь кратким руководством Назначение политики с помощью портала для поиска и назначения политики Kubernetes. Выполните поиск определения политики Kubernetes вместо примера audit vms.

Важно!

Встроенные определения политик доступны для кластеров Kubernetes в категории Kubernetes. Список встроенных определений политик см. в Образцы Kubernetes.

Оценка политики

Надстройка сверяет назначения политик со службой Политики Azure на наличие изменений каждые 15 минут. Во время этого цикла обновления надстройка проверяет наличие изменений. Эти изменения активируют операции создания, обновления или удаления шаблонов ограничений и ограничений.

В кластере Kubernetes, если пространство имен имеет метку, соответствующую кластеру, запросы на допуск с нарушениями не отклоняются. Результаты оценки соответствия по-прежнему доступны.

• Кластер Kubernetes с поддержкой Azure Arc: admission.policy.azure.com/ignore

Примечание

Хотя администратор кластера может иметь разрешение на создание и обновление шаблонов ограничений и ресурсов ограничений, устанавливаемых надстройкой Политики Azure, эти сценарии не поддерживаются, так как выполненные вручную обновления перезаписываются. Gatekeeper продолжит оценивать политики, существовавшие до установки надстройки и назначения определений политик Политики Azure.

Каждые 15 минут надстройка вызывает полную проверку кластера. После сбора сведений, полученных в ходе полной проверки, и выполненных в режиме реального времени оценок Gatekeeper попыток внести изменения в кластер надстройка отправляет результаты в Политику Azure для включения их в сведения о соответствии подобно любому назначению Политики Azure. Во время цикла аудита возвращаются только результаты активных назначений политик. Результаты аудита также могут отображаться как нарушения, указанные в поле состояния ограничения, завершившегося сбоем. Дополнительные сведения о ресурсах, не соответствующих требованиям, см. в разделе Сведения о компоненте для режимов поставщиков ресурсов.

Примечание

Каждый отчет о соответствии в Политике Azure для кластеров Kubernetes включает все нарушения за последние 45 минут. Метка времени указывает, когда произошло нарушение.

Другие замечания:

• Если подписка кластера зарегистрирована в Microsoft Defender для облака, политики Kubernetes Microsoft Defender для облака применяются к кластеру автоматически.

• Когда политика запрета применяется к кластеру с существующими ресурсами Kubernetes, все существующие ресурсы, не соответствующие новой политике, продолжат работать. Когда несоответствующий ресурс перераспределяется на другой узел, Gatekeeper блокирует создание ресурсов.

• Если в кластере есть политика запрета, которая проверяет ресурсы, при создании развертывания пользователь не увидит сообщение об отказе. Например, рассмотрим развертывание Kubernetes, которое содержит наборы реплик и pod-модули. При запуске kubectl describe deployment $MY_DEPLOYMENT пользователем сообщение об отклонении не возвращается среди других событий. Однако kubectl describe replicasets.apps $MY_DEPLOYMENT возвращает события, связанные с отклонением.

Примечание

Контейнеры инициализации могут включаться во время оценки политики. Чтобы узнать, включены ли контейнеры инициализации, просмотрите CRD для следующего или аналогичного объявления:

input_containers[c] {
   c := input.review.object.spec.initContainers[_]
}

Конфликты шаблонов ограничений

Если шаблоны ограничений имеют одно и то же имя метаданных ресурса, но определение политики ссылается на источник в различных расположениях, определения политик считаются конфликтующими. Пример. Два определения политик ссылаются на один и тот же файл template.yaml, хранящийся в разных исходных расположениях, например в хранилище шаблонов политик Azure (store.policy.core.windows.net) и GitHub.

Если определения политик и их шаблоны ограничений назначены, но еще не установлены в кластере и конфликтуют, о них сообщается как о конфликтах и они не будут устанавливаться в кластер до устранения конфликта. Аналогично, все существующие определения политик и их шаблоны ограничений, уже находящиеся в кластере, которые конфликтуют с новыми назначенными определениями политик, продолжают работать в обычном режиме. Если существующее назначение обновляется и возникает ошибка синхронизации шаблона ограничения, кластер также помечается как конфликт. Все сообщения о конфликтах см. в разделе Причины проблем соответствия режимов поставщика услуг AKS.

Ведение журнала

Pod-модули azure-policy и gatekeeper, являющиеся контроллерами/контейнерами Kubernetes, хранят журналы в кластере Kubernetes. Журналы можно предоставить на странице Insights (Аналитические сведения) кластера Kubernetes. Дополнительные сведения см. в статье Мониторинг производительности кластера Kubernetes с помощью Azure Monitor для контейнеров.

Чтобы просмотреть журналы надстроек, используйте kubectl:

# Get the azure-policy pod name installed in kube-system namespace
kubectl logs <azure-policy pod name> -n kube-system

# Get the gatekeeper pod name installed in gatekeeper-system namespace
kubectl logs <gatekeeper pod name> -n gatekeeper-system

Дополнительные сведения см. в статье об отладке Gatekeeper в документации по Gatekeeper.

Просмотр артефактов Gatekeeper

После того как надстройка загрузит назначения политики и установит шаблоны ограничений и ограничения в кластере, она будет снабжать их данными политики Azure, такими как идентификатор назначения политики и идентификатор определения политики. Чтобы настроить клиент для просмотра артефактов, связанных с надстройкой, выполните следующие действия.

1. Установка kubeconfig для кластера.

   Для кластера Службы Azure Kubernetes используйте следующий Azure CLI:

   # Set context to the subscription
   az account set --subscription <YOUR-SUBSCRIPTION>
   
   # Save credentials for kubeconfig into .kube in your home folder
   az aks get-credentials --resource-group <RESOURCE-GROUP> --name <CLUSTER-NAME>
   

2. Проверка подключения к кластеру.

   Выполните команду kubectl cluster-info. В случае успешного выполнения каждая служба отвечает по URL-адресу, в котором она выполняется.

Просмотр шаблонов ограничений надстройки

Чтобы просмотреть шаблоны ограничений, скачанные надстройкой, выполните команду kubectl get constrainttemplates. Шаблоны ограничений, начинающиеся с k8sazure, установлены надстройкой.

Получение сопоставлений политик Azure

Чтобы определить сопоставление между шаблоном ограничения, загруженным в кластер, и определением политики, используйте kubectl get constrainttemplates <TEMPLATE> -o yaml. Результаты выглядят как следующие данные.

apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
    annotations:
    azure-policy-definition-id: /subscriptions/<SUBID>/providers/Microsoft.Authorization/policyDefinitions/<GUID>
    constraint-template-installed-by: azure-policy-addon
    constraint-template: <URL-OF-YAML>
    creationTimestamp: "2021-09-01T13:20:55Z"
    generation: 1
    managedFields:
    - apiVersion: templates.gatekeeper.sh/v1beta1
    fieldsType: FieldsV1
...

<SUBID> — это идентификатор подписки, а <GUID> — идентификатор определения сопоставленной политики. <URL-OF-YAML> — это исходное расположение шаблона ограничения, загружаемого надстройкой для установки в кластере.

Просмотр ограничений, связанных с шаблоном ограничения

Получив имена шаблонов ограничений, скачанных надстройкой, их можно использовать для просмотра связанных ограничений. Используйте kubectl get <constraintTemplateName> для получения списка. Ограничения, установленные надстройкой, начинаются с azurepolicy-.

Просмотр сведений об ограничениях

Ограничение содержит сведения о нарушениях и сопоставлениях с определением и назначением политики. Чтобы просмотреть подробные сведения, используйте kubectl get <CONSTRAINT-TEMPLATE> <CONSTRAINT> -o yaml. Результаты выглядят как следующие данные.

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sAzureContainerAllowedImages
metadata:
  annotations:
    azure-policy-assignment-id: /subscriptions/<SUB-ID>/resourceGroups/<RG-NAME>/providers/Microsoft.Authorization/policyAssignments/<ASSIGNMENT-GUID>
    azure-policy-definition-id: /providers/Microsoft.Authorization/policyDefinitions/<DEFINITION-GUID>
    azure-policy-definition-reference-id: ""
    azure-policy-setdefinition-id: ""
    constraint-installed-by: azure-policy-addon
    constraint-url: <URL-OF-YAML>
  creationTimestamp: "2021-09-01T13:20:55Z"
spec:
  enforcementAction: deny
  match:
    excludedNamespaces:
    - kube-system
    - gatekeeper-system
    - azure-arc
  parameters:
    imageRegex: ^.+azurecr.io/.+$
status:
  auditTimestamp: "2021-09-01T13:48:16Z"
  totalViolations: 32
  violations:
  - enforcementAction: deny
    kind: Pod
    message: Container image nginx for container hello-world has not been allowed.
    name: hello-world-78f7bfd5b8-lmc5b
    namespace: default
  - enforcementAction: deny
    kind: Pod
    message: Container image nginx for container hello-world has not been allowed.
    name: hellow-world-89f8bfd6b9-zkggg

Устранение неполадок надстройки

Дополнительные сведения об устранении неполадок надстройки для Kubernetes см. в разделе Kubernetes статьи об устранении неполадок политики Azure.

Сведения о расширениях политики Azure для расширений Arc см. в следующих статьях:

• Устранение неполадок с Kubernetes с поддержкой Azure Arc

Сведения о проблемах, связанных с политикой Azure, см. в следующих статьях:

• Проверка журналов политик Azure
• Общие сведения об устранении неполадок для политик Azure в Kubernetes

Удаление надстройки

Удаление надстройки из AKS

Чтобы удалить надстройку "Политика Azure" из кластера AKS, используйте либо портал Azure, либо Azure CLI.

• Портал Azure

  1. Запустите службу Azure Kubernetes на портале Azure, выбрав Все службы, а затем выполнив поиск и выбрав Службы Kubernetes.

  2. Выберите кластер AKS, в котором необходимо отключить надстройку Политики Azure.

  3. Выберите Политики в левой части страницы службы Kubernetes.

  4. На главной странице нажмите кнопку Отключить надстройку.

• Azure CLI

  # Log in first with az login if you're not using Cloud Shell
  
  az aks disable-addons --addons azure-policy --name MyAKSCluster --resource-group MyResourceGroup
  

Удаление надстройки из Kubernetes с поддержкой Azure Arc

Примечание

Модель Helm надстройки политики Azure теперь устарела. Используйте вместо нее расширение политики Azure для Kubernetes с включенной службой Azure Arc.

Чтобы удалить надстройку Политики Azure и Gatekeeper из кластера Kubernetes с поддержкой Azure Arc, выполните следующую команду Helm:

helm uninstall azure-policy-addon

Удаление надстройки из Обработчика AKS

Примечание

Продукт AKS Engine теперь не рекомендуется использовать для клиентов общедоступного облака Azure. Рекомендуется использовать Служба Azure Kubernetes (AKS) для управляемых Kubernetes или Поставщика API кластера Azure для самостоятельно управляемых Kubernetes. Разработка новых функций не планируется; этот проект будет обновляться только для устранения уязвимостей CVE &, в качестве окончательной версии для получения обновлений будет использоваться Kubernetes 1.24.

Чтобы удалить надстройку Политики Azure и Gatekeeper из кластера Обработчика AKS, используйте метод, соответствующий способу установки надстройки.

• Если установка выполнена путем задания свойства addons в определении кластера для Обработчика AKS:

  повторно разверните определение кластера в Обработчике AKS после изменения значения свойства addons для azure-policy на false:

  "addons": [{
      "name": "azure-policy",
      "enabled": false
  }]
  

  Дополнительные сведения см. в Обработчик AKS. Отключение надстройки Политики Azure.

• При установке с диаграммами Helm выполните следующую команду Helm:

  helm uninstall azure-policy-addon
  

Диагностические данные, собираемые надстройкой Политики Azure

Надстройка Политики Azure для Kubernetes собирает ограниченные диагностические данные кластера. Они являются важнейшими техническими данными, относящимися к программному обеспечению и производительности. Их можно использовать следующими способами:

• поддержка надстройки Политики Azure в актуальном состоянии;
• обеспечение безопасности, надежности и эффективности надстройки Политики Azure;
• совершенствование надстройки Политики Azure с помощью статистического анализа использования надстройки.

Сведения, собираемые надстройкой, не являются персональными данными. В настоящее время ведется сбор следующих сведений:

• Версия агента надстройки Политики Azure
• Тип кластера
• Регион кластера
• Группа ресурсов кластера
• ИД ресурса кластера
• ИД подписки кластера
• ОС кластера (например: Linux)
• Город кластера (например: Сиэтл)
• Штат или провинция кластера (например: Вашингтон)
• Страна или регион кластера (например: США)
• Исключения и ошибки, обнаруженные надстройкой Политики Azure во время установки агента при оценке политики
• Число определений политик Gatekeeper, не установленных надстройкой Политики Azure

Дальнейшие действия

• См. примеры для Политики Azure.
• См. дополнительные сведения о структуре определения Политики Azure.
• Изучите сведения о действии политик.
• Узнайте о программном создании политик.
• Узнайте, как получать сведения о соответствии.
• Узнайте, как исправлять несоответствующие ресурсы.
• Дополнительные сведения о группе управления см. в статье Упорядочивание ресурсов с помощью групп управления Azure.