Azure Arc 所啟用 AKS 中的 Azure 原則
適用於:Azure Stack HCI 22H2 上的 AKS、Windows Server 上的 AKS
本文提供將 Azure 原則套用至管理叢集的指引,以及部署 Arc 所啟用 AKS 的建議。
使用 Azure 原則的最佳做法
Azure 原則是在訂用帳戶層級設定。 根據預設,原則適用於管理和目標/工作負載叢集。
不同環境的不同訂用帳戶
在生產環境中啟動原則之前,最佳做法是在生產前環境中進行測試。 由於原則是在訂用帳戶層級設定,所以最好將生產前和生產環境保留在不同的訂用帳戶上。
稽核模式中的原則測試
在生產前或生產環境中強制執行原則之前,請先在稽核模式中確認其功能。
將 Azure 原則套用至 Kubernetes 管理叢集的考慮
您不應該在管理叢集上啟用 Azure 原則的強制模式,因為管理叢集不會執行客戶工作負載。 強制執行 Azure 原則可能會導致某些 Pod 無法啟動。
停用管理叢集上的強制模式
管理叢集和目標叢集位於相同的訂用帳戶上,預設會繼承相同的 Azure 原則。 若要防止管理叢集以強制模式執行 Azure 原則,請將管理和目標叢集放在不同的資源群組中,並將排除原則套用至管理叢集資源群組。 如需排除原則應用程式的詳細資訊,請參閱 Azure 原則豁免結構。
監視管理叢集
Azure 原則主要是用於宣告式合規性驗證,而不是以行為為基礎的威脅偵測。 如果擔心管理叢集的安全性狀態,應該評估追蹤可疑活動的威脅監視工具。