Anwenden von Flux v1-Konfigurationen im großen Stil mittels Azure Policy

Sie können Azure Policy verwenden, um Flux v1-Konfigurationen (Ressourcentyp Microsoft.KubernetesConfiguration/sourceControlConfigurations) in großem Umfang auf Azure Arc-fähige Kubernetes-Cluster (Microsoft.Kubernetes/connectedclusters) anzuwenden.

Wichtig

Dieser Artikel gilt für GitOps mit Flux v1. GitOps mit Flux v2 ist jetzt für Azure Arc-fähige Kubernetes- und AKS-Cluster (Azure Kubernetes Service) verfügbar. Erfahren Sie mehr über die Verwendung von Azure Policy mit Flux v2. Wir empfehlen, so schnell wie möglich zu Flux v2 zu migrieren.

Die Unterstützung für Flux v1-basierte Clusterkonfigurationsressourcen, die vor dem 1. Januar 2024 erstellt wurden, endet am 24. Mai 2025. Ab dem 1. Januar 2024 können Sie keine neuen Flux v1-basierten Clusterkonfigurationsressourcen mehr erstellen.

Um Azure Policy zu verwenden, wählen Sie eine integrierte GitOps-Richtliniendefinition aus, und erstellen Sie eine Richtlinienzuweisung. Beim Erstellen der Richtlinienzuweisung:

1. Legen Sie den Bereich für die Zuweisung fest.
   • Der Bereich sind alle Ressourcengruppen in einem Abonnement, einer Verwaltungsgruppe oder bestimmten Ressourcengruppen.
2. Legen Sie die Parameter für die GitOps-Konfiguration fest, die erstellt wird.

Sobald die Zuweisung erstellt ist, identifiziert die Azure Policy Engine alle Azure Arc-fähigen Kubernetes-Cluster, die sich innerhalb des Bereichs befinden, und wendet die GitOps-Konfiguration auf jeden Cluster an.

Um die Trennung von Belangen zu ermöglichen, können Sie mehrere Richtlinienzuweisungen erstellen, die jeweils über eine andere GitOps-Konfiguration verfügen, die auf ein anderes Git-Repository verweist. Beispielsweise kann ein Repository von Clusteradministratoren und andere Repositorys von Anwendungsteams verwendet werden.

Tipp

Für diese Szenarien gibt es integrierte Richtliniendefinitionen:

• Öffentliches Repository oder privates Repository mit SSH-Schlüsseln, die von Flux erstellt wurden: Configure Kubernetes clusters with specified GitOps configuration using no secrets
• Privates Repository mit benutzerseitig bereitgestellten SSH-Schlüsseln: Configure Kubernetes clusters with specified GitOps configuration using SSH secrets
• Privates Repository mit benutzerseitig bereitgestellten HTTPS-Schlüsseln: Configure Kubernetes clusters with specified GitOps configuration using HTTPS secrets

Voraussetzungen

Überprüfen Sie, ob Sie über Microsoft.Authorization/policyAssignments/write-Berechtigungen für den Bereich (Abonnement oder Ressourcengruppe) verfügen, in dem Sie diese Richtlinienzuweisung erstellen möchten.

Erstellen einer Richtlinienzuweisung

1. Navigieren Sie im Azure-Portal zu Policy.
2. Wählen Sie im Abschnitt Erstellung auf der Randleiste die Option Definitionen aus.
3. Wählen Sie in der Kategorie "Kubernetes" die integrierte Richtliniendefinition "Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration ohne Geheimnisse konfigurieren".
4. Wählen Sie Zuweisen aus.
5. Legen Sie den Bereich auf die Verwaltungsgruppe, das Abonnement oder die Ressourcengruppe fest, in der oder dem die Richtlinienzuweisung angewandt wird.
   • Wenn Sie irgendwelche Ressourcen aus dem Zuweisungsbereich der Richtlinie ausschließen möchten, setzen Sie Ausschlüsse.
6. Legen Sie für die Richtlinienzuweisung einen einfach erkennbaren Namen und eine Beschreibung fest.
7. Stellen Sie sicher, dass Richtlinienerzwingung auf Aktiviert festgelegt ist.
8. Wählen Sie Weiter aus.
9. Legen Sie die zu verwendenden Parameterwerte für die Erstellung der sourceControlConfigurations-Ressource fest.
   • Weitere Informationen zu Parametern finden Sie im Tutorial zum Bereitstellen von GitOps-Konfigurationen.
10. Wählen Sie Weiter aus.
11. Aktivieren Sie Korrekturtask erstellen.
12. Stellen Sie sicher, dass Verwaltete Identität erstellen aktiviert ist und dass die Identität Mitwirkender-Berechtigungen besitzt.
    • Weitere Informationen finden Sie im Schnellstart zum Erstellen einer Richtlinienzuweisung und im Artikel Korrigieren nicht konformer Ressourcen mit Azure Policy.
13. Klicken Sie auf Überprüfen + erstellen.

Nach der Erstellung der Richtlinienzuweisung wird die Konfiguration auf neue Azure Arc-fähige Kubernetes-Cluster angewendet, die innerhalb des Bereichs der Richtlinienzuweisung erstellt werden.

Bei vorhandenen Clustern müssen Sie eventuell manuell einen Wartungstask ausführen. Es dauert in der Regel 10 bis 20 Minuten, bis die Richtlinienzuweisung wirksam wird.

Überprüfen einer Richtlinienzuweisung

1. Navigieren Sie im Azure-Portal zu einem Ihrer Azure Arc-aktivierten Kubernetes-Cluster.
2. Wählen Sie im Abschnitt Einstellungen auf der Randleiste Richtlinien aus.
   • In der Liste sollten Sie die Richtlinienzuweisung sehen, die Sie zuvor erstellt haben und deren Konformitätsstatus auf konform gesetzt ist.
3. Wählen Sie im Abschnitt Einstellungen auf der Randleiste GitOps aus.
   • In der Liste der Konfigurationen sollte die durch die Richtlinienzuweisung erstellte Konfiguration angezeigt werden.
4. Wählen Sie im Abschnitt Kubernetes-Ressourcen der Randleiste Namespaces und Workloads aus.
   • Sie sollten den Namespace und die Artefakte sehen, die von der Flux-Konfiguration erstellt wurden.
   • Die von den Manifesten im Git-Repository beschriebenen Objekte sollten sichtlich im Cluster bereitgestellt sein.

Nächste Schritte

Azure Monitor für Container mit Azure Arc-aktivierten Kubernetes-Clustern einrichten.