Použití konfigurací Flux v1 ve velkém měřítku pomocí Azure Policy

Azure Policy můžete použít k použití konfigurací Flux v1 (Microsoft.KubernetesConfiguration/sourceControlConfigurationstypu prostředku) ve velkém měřítku v clusterech Kubernetes s podporou Azure Arc.Microsoft.Kubernetes/connectedclusters

Důležité

Tento článek je určený pro GitOps s flux v1. GitOps s flux v2 je teď k dispozici pro clustery Kubernetes s podporou Azure Arc a Azure Kubernetes Service (AKS). Seznamte se s používáním služby Azure Policy s flux v2. Doporučujeme migrovat na Flux v2 co nejdříve.

Podpora prostředků konfigurace clusteru založených na flux v1 vytvořených před 1. lednem 2024 skončí 24. května 2025. Od 1. ledna 2024 nebudete moct vytvářet nové prostředky konfigurace clusteru založené na fluxu v1.

Pokud chcete použít Azure Policy, vyberte integrovanou definici zásad GitOps a vytvořte přiřazení zásad. Při vytváření přiřazení zásad:

1. Nastavte obor přiřazení.
   • Rozsah bude všechny skupiny prostředků v předplatném, skupině pro správu nebo konkrétních skupinách prostředků.
2. Nastavte parametry pro konfiguraci GitOps, která se vytvoří.

Po vytvoření přiřazení modul Azure Policy identifikuje všechny clustery Kubernetes s podporou Služby Azure Arc umístěné v oboru a použije konfiguraci GitOps u každého clusteru.

Pokud chcete umožnit oddělení obav, můžete vytvořit více přiřazení zásad, z nichž každá má jinou konfiguraci GitOps odkazující na jiné úložiště Git. Například jedno úložiště můžou používat správci clusteru a další úložiště, která můžou používat týmy aplikací.

Tip

Existují předdefinované definice zásad pro tyto scénáře:

• Veřejné úložiště nebo privátní úložiště s klíči SSH vytvořenými fluxem: Configure Kubernetes clusters with specified GitOps configuration using no secrets
• Privátní úložiště s uživatelskými klíči SSH: Configure Kubernetes clusters with specified GitOps configuration using SSH secrets
• Privátní úložiště s uživatelskými klíči HTTPS: Configure Kubernetes clusters with specified GitOps configuration using HTTPS secrets

Požadavek

Ověřte, že máte Microsoft.Authorization/policyAssignments/write oprávnění k oboru (předplatnému nebo skupině prostředků), ve kterém toto přiřazení zásad vytvoříte.

Vytvoření přiřazení zásady

1. Na webu Azure Portal přejděte na Zásady.
2. V části Vytváření obsahu na bočním panelu vyberte Definice.
3. V kategorii Kubernetes zvolte předdefinovanou definici zásad Konfigurace clusterů Kubernetes se zadanou konfigurací GitOps bez tajných kódů.
4. Vyberte Přiřadit.
5. Nastavte obor na skupinu pro správu, předplatné nebo skupinu prostředků, na kterou se přiřazení zásady použije.
   • Pokud chcete vyloučit všechny prostředky z oboru přiřazení zásad, nastavte vyloučení.
6. Dejte přiřazení zásady snadno identifikovatelný název a popis.
7. Ujistěte se, že je vynucení zásad nastavené na Povoleno.
8. Vyberte Další.
9. Nastavte hodnoty parametrů, které se mají použít při vytváření sourceControlConfigurations prostředku.
   • Další informace o parametrech najdete v kurzu nasazení konfigurací GitOps.
10. Vyberte Další.
11. Povolte vytvoření úlohy nápravy.
12. Ověřte , že je zaškrtnutá možnost Vytvořit spravovanou identitu a že identita bude mít oprávnění přispěvatele .
    • Další informace najdete v rychlém startu Vytvoření přiřazení zásad a nápravě nevyhovujících prostředků pomocí služby Azure Policy.
13. Vyberte Zkontrolovat a vytvořit.

Po vytvoření přiřazení zásad se konfigurace použije u nových clusterů Kubernetes s podporou Azure Arc vytvořených v rámci přiřazení zásad.

U existujících clusterů možná budete muset ručně spustit úlohu nápravy. Tento úkol obvykle trvá 10 až 20 minut, než se přiřazení zásady projeví.

Ověření přiřazení zásad

1. Na webu Azure Portal přejděte na jeden z clusterů Kubernetes s podporou Služby Azure Arc.
2. V části Nastavení bočního panelu vyberte Zásady.
   • V seznamu by se mělo zobrazit přiřazení zásad, které jste vytvořili dříve, se stavem Dodržování předpisů nastaveným jako Vyhovující.
3. V části Nastavení bočního panelu vyberte GitOps.
   • V seznamu konfigurací byste měli vidět konfiguraci vytvořenou přiřazením zásady.
4. V části Prostředky Kubernetes na bočním panelu vyberte Obory názvů a úlohy.
   • Měli byste vidět obor názvů a artefakty vytvořené konfigurací Flux.
   • Měli byste vidět objekty popsané manifesty v úložišti Git nasazené v clusteru.

Další kroky

Nastavte Azure Monitor pro kontejnery pomocí clusterů Kubernetes s podporou Azure Arc.