Hantera Azure Arc-aktiverade Kubernetes med hjälp av Azure Policy och Azure Monitor
Azure Arc centraliserar och effektiviserar hanteringen genom att aktivera en rad Azure-tjänster, till exempel Azure Policy och Azure Monitor.
I den här lektionen lär du dig hur du använder dessa tjänster för att hantera och övervaka Azure Arc-aktiverade Kubernetes-kluster.
Azure Policy
Azure Policy använder deklarativa regler baserat på egenskaper för målresurstyper, inklusive Kubernetes-kluster och deras komponenter. Dessa regler utgör principdefinitioner som administratörer kan tillämpa via principtilldelning till resursgrupper, prenumerationer eller hanteringsgrupper.
Azure Policy för Kubernetes
Med Azure Policy for Kubernetes kan företag tillämpa enhetliga styrningsregler i alla sina Azure Arc-aktiverade Kubernetes-kluster för att identifiera eventuella inkompatibiliteter med organisationens standarder.
Azure Policy-tillägget för Arc-aktiverade Kubernetes vidtar följande åtgärder:
- Söker regelbundet efter Azure Policy-tilldelningar som riktar sig mot Kubernetes-klustret som är värd för antagningskontrollantpoddarna.
- Distribuerar principdefinitioner till klustret som anpassade resurser som tillämpar begränsningar, som antagningskontrollantpoddarna tillämpar.
- Rapporterar gransknings- och efterlevnadsdata till Azure Policy, så att du kan granska status via Azure-portalen som för andra Azure- eller Azure Arc-aktiverade resurser.
Inbyggda principdefinitioner för Arc-aktiverade Kubernetes
Azure Policy erbjuder många inbyggda definitioner för Azure Arc-aktiverade Kubernetes, inklusive följande vanliga principdefinitioner:
| Principnamn | Principbeskrivning |
|---|---|
| Kubernetes-kluster bör inte tillåta privilegierade containrar | Förhindrar att privilegierade containrar skapas i ett kluster. |
| Kubernetes-kluster bör endast vara tillgängliga via HTTPS | Säkerställer att HTTPS används för inkommande anslutningar. |
| Kubernetes-klustertjänster bör endast använda tillåtna externa IP-adresser | Säkerställer att endast tillåtna externa IP-adresser används. |
| Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | Framtvingar begränsningar för containerns processor- och minnesresurser. |
| Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | Begränsar tjänster till att endast lyssna på tillåtna portar. |
| Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | Begränsar avbildningar som kan användas för att distribuera containrar till endast avbildningar från betrodda register. |
| Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | Begränsar funktionerna för att minska attackytan för containrar. |
| Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsar poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett kluster. |
Många fler inbyggda principdefinitioner är tillgängliga. Om du vill visa alla principdefinitioner söker du efter och väljer Princip i Azure-portalen, väljer Definitioner i den vänstra menyn och väljer sedan Kubernetes i listrutan Kategori .
Implementera Azure Policy för Kubernetes
Om du vill implementera Azure Policy for Kubernetes i anslutna kluster måste du installera Azure Policy-tillägget. För Azure Arc-aktiverade Kubernetes består processen av följande steg på hög nivå.
- Logga in på Microsoft Entra-klientorganisationen med ett konto som har behörighet att hantera Den Arc-aktiverade Kubernetes-resursen.
- Skapa en Azure Policy-tilläggsinstans i klustret.
- Skapa en principtilldelning med någon av de Kubernetes-specifika principdefinitionerna.
När principtilldelningen har skapats börjar Azure Policy söka efter efterlevnad.
Azure Monitor
Azure Monitor utökar omfattande molnbaserade hanteringsfunktioner utöver Azure till lokala datacenter och molnleverantörer som inte kommer från Microsoft. Övervaka samlar in och övervakar mått, aktivitets- och diagnostikloggar och händelser från Azure-tjänster, Arc-aktiverade resurser samt lokala datacenter och molnresurser från tredje part.
Funktionerna i Azure Monitor-gränssnittet är:
- Instrumentpaneler och arbetsböcker.
- Måttanalys med verktyg som Metrics Explorer eller Power BI.
- Vanliga åtgärdsgrupper som anger aviseringsutlösta åtgärder och aviseringsmottagare.
Azure Monitor Container Insights
Azure Monitor Container Insights ger omfattande insikter om tillståndet i Kubernetes-miljön, vilket bidrar till att upprätthålla driftsstabilitet och affärskontinuitet. Mått samlas in på styrenheter, noder och containrar i Kubernetes-miljöer, inklusive Azure Arc-aktiverade Kubernetes.
Containerinsikter innehåller följande funktioner:
- Identifiera containrar som körs på varje klusternod och deras genomsnittliga processor- och minnesanvändning för att identifiera resursflaskhalsar.
- Identifiera containrar som körs i enskilda poddar som hjälper dig att spåra poddens övergripande prestanda.
- Utvärdera resursanvändningen för arbetsbelastningar som körs på värden som inte är relaterade till de standardprocesser som stöder podden.
- Jämför beteendet för klustret under genomsnittliga och tyngsta belastningar för att utvärdera kapacitetsbehoven och uppskatta den maximala belastning som klustret kan upprätthålla.
- Konfigurera aviseringar för att proaktivt meddela dig när resursanvändningen överskrider acceptabla tröskelvärden eller när ett hälsotillstånd ändras i klustret.
Övervaka Azure Arc-aktiverade Kubernetes-kluster
Azure Monitor Container Insights förlitar sig på en containerbaserad version av Azure Monitor Agent för Linux. Den här agenten körs i det övervakade klustret för att samla in prestandamått och loggar från klusternoder och containrar. Agenten interagerar direkt med Kubernetes Metrics API och laddar upp insamlade data till Azure.
Processen för att implementera Azure Monitor Container Insights för Azure Arc-aktiverade Kubernetes-distributioner består av följande steg på hög nivå.
- Logga in på Microsoft Entra-klientorganisationen med ett konto som har behörighet att hantera Den Arc-aktiverade Kubernetes-resursen.
- Identifiera arbetsytans ID för den Log Analytics-arbetsyta som du vill använda.
- Skapa en Azure Monitor Container Insights-tilläggsinstans i klustret med hjälp av Log Analytics-arbetsyte-ID:t.