Použití konfigurací ve velkém měřítku pomocí Azure Policy

Ke škálování Azure Policy (typ prostředku) na clusterech Kubernetes s podporou Kubernetes s podporou kubernetes Azure Arc můžete použít Microsoft.KubernetesConfiguration/sourceControlConfigurations Microsoft.Kubernetes/connectedclusters škálování.

Pokud chcete Azure Policy, vyberte integrovanou definici zásady GitOps a vytvořte přiřazení zásady. Při vytváření přiřazení zásady:

  1. Nastavte rozsah přiřazení.
    • Oborem budou všechny skupiny prostředků v předplatném, skupině pro správu nebo konkrétních skupinách prostředků.
  2. Nastavte parametry pro konfiguraci GitOps, která se vytvoří.

Po vytvoření přiřazení modul Azure Policy identifikuje všechny clustery Kubernetes s podporou Azure Arc umístěné v rámci oboru a použije konfiguraci GitOps na každý cluster.

Pokud chcete oddělení obav umožnit, můžete vytvořit několik přiřazení zásad, z nichž každé má jinou konfiguraci GitOps odkazující na jiné úložiště Git. Jedno úložiště mohou například používat správci clusteru a jiná úložiště mohou používat týmy aplikací.

Tip

Pro tyto scénáře existují integrované definice zásad:

  • Veřejné nebo privátní úložiště s klíči SSH vytvořenými společností Flux: Configure Kubernetes clusters with specified GitOps configuration using no secrets
  • Privátní úložiště s uživatelsky poskytnutými klíči SSH: Configure Kubernetes clusters with specified GitOps configuration using SSH secrets
  • Privátní úložiště s uživatelsky poskytnutými klíči HTTPS: Configure Kubernetes clusters with specified GitOps configuration using HTTPS secrets

Požadavek

Ověřte, že máte oprávnění k oboru (předplatnému nebo skupině prostředků), ve Microsoft.Authorization/policyAssignments/write kterém toto přiřazení zásad vytvoříte.

Vytvoření přiřazení zásad

  1. V Azure Portal přejděte na Zásady.
  2. V části Vytváření na bočním panelu vyberte Definice.
  3. V kategorii Kubernetes zvolte předdefinované definice zásad Konfigurace clusterů Kubernetes se zadanou konfigurací GitOps bez tajných kódů.
  4. Klikněte na Přiřadit.
  5. Nastavte Obor na skupinu pro správu, předplatné nebo skupinu prostředků, na které se přiřazení zásady použije.
    • Pokud chcete některé prostředky vyloučit z oboru přiřazení zásad, nastavte vyloučení.
  6. Dejte přiřazení zásady snadno identifikovatelný název a popis.
  7. Ujistěte se, že je vynucení zásad nastavené na Povoleno.
  8. Vyberte Další.
  9. Nastavte hodnoty parametrů, které se budou používat při vytváření sourceControlConfiguration .
  10. Vyberte Další.
  11. Povolte možnost Vytvořit úlohu nápravy.
  12. Ověřte, že je zaškrtnuté políčko Vytvořit spravovanou identitu a že tato identita bude mít oprávnění Přispěvatel.
    • Další informace najdete v rychlém startu Vytvoření přiřazení zásady a v článku o nápravě prostředků, které nedodržují předpisy, Azure Policy .
  13. Vyberte Zkontrolovat a vytvořit.

Po vytvoření přiřazení zásady se konfigurace použije na nové clustery Kubernetes s podporou Azure Arc s povoleným přístupem v rámci oboru přiřazení zásad.

U existujících clusterů možná budete muset ručně spustit úlohu nápravy. Tento úkol obvykle trvá 10 až 20 minut, než se přiřazení zásady projeví.

Ověření přiřazení zásady

  1. V Azure Portal přejděte na jeden z vašich clusterů Kubernetes Azure Arc s podporou nasazení.
  2. V Nastavení bočního panelu vyberte Zásady.
    • V seznamu byste měli vidět přiřazení zásady, které jste vytvořili dříve se stavem Dodržování předpisů nastaveným na Kompatibilní.
  3. V Nastavení bočního panelu vyberte GitOps.
    • V seznamu konfigurací byste měli vidět konfiguraci vytvořenou přiřazením zásady.
  4. Pomocí kubectl se můžete dotazovat clusteru.
    • Měli byste vidět obor názvů a artefakty, které byly vytvořeny konfigurací GitOps.
    • Měli byste vidět objekty popsané manifesty v úložišti Git, které se nasadí do clusteru.

Další kroky

Nastavte Azure Monitor pro kontejnery s Azure Arc kubernetes s podporou clusterů Kubernetes.