Grundlegendes zu Azure Policy für Kubernetes-ClusterUnderstand Azure Policy for Kubernetes clusters

Azure Policy erweitert Gatekeeper v3, einen Webhook für die Zugangssteuerung für Open Policy Agent (OPA), um zentral und einheitlich bedarfsgesteuerte Erzwingungs- und Schutzmaßnahmen auf Ihre Cluster anzuwenden.Azure Policy extends Gatekeeper v3, an admission controller webhook for Open Policy Agent (OPA), to apply at-scale enforcements and safeguards on your clusters in a centralized, consistent manner. Mithilfe von Azure Policy kann der Konformitätszustand Ihrer Kubernetes-Cluster von einem zentralen Ort aus verwaltet und gemeldet werden.Azure Policy makes it possible to manage and report on the compliance state of your Kubernetes clusters from one place. Das Add-On bietet folgende Funktionen:The add-on enacts the following functions:

  • Überprüfen auf Richtlinienzuweisungen für den Cluster mit dem Azure Policy-DienstChecks with Azure Policy service for policy assignments to the cluster.
  • Bereitstellen von Richtliniendefinitionen im Cluster als Einschränkungsvorlage und benutzerdefinierte EinschränkungsressourceDeploys policy definitions into the cluster as constraint template and constraint custom resources.
  • Senden von Details zur Überwachung und Konformität zurück an den Azure Policy-DienstReports auditing and compliance details back to Azure Policy service.

Von Azure Policy für Kubernetes werden folgende Clusterumgebungen unterstützt:Azure Policy for Kubernetes supports the following cluster environments:

Wichtig

Die Add-Ons für AKS-Engine und Kubernetes mit Arc-Aktivierung sind in der Vorschauversion verfügbar.The add-ons for AKS Engine and Arc enabled Kubernetes are in preview. Azure Policy für Kubernetes unterstützt nur Linux-Knotenpools und integrierte Richtliniendefinitionen.Azure Policy for Kubernetes only supports Linux node pools and built-in policy definitions. Integrierte Richtliniendefinitionen befinden sich in der Kategorie Kubernetes.Built-in policy definitions are in the Kubernetes category. Die Richtliniendefinitionen der eingeschränkten Vorschauversion mit der Auswirkung EnforceOPAConstraint und EnforceRegoPolicy und der zugehörigen Kategorie Kubernetes Service sind veraltet.The limited preview policy definitions with EnforceOPAConstraint and EnforceRegoPolicy effect and the related Kubernetes Service category are deprecated. Verwenden Sie stattdessen die Auswirkungen audit und deny mit dem Ressourcenanbietermodus Microsoft.Kubernetes.Data.Instead, use the effects audit and deny with Resource Provider mode Microsoft.Kubernetes.Data.

ÜbersichtOverview

Gehen Sie wie folgt vor, um Azure Policy zu aktivieren und mit Ihrem Kubernetes-Cluster zu verwenden:To enable and use Azure Policy with your Kubernetes cluster, take the following actions:

  1. Konfigurieren Sie Ihren Kubernetes-Cluster, und installieren Sie das Add-On:Configure your Kubernetes cluster and install the add-on:

    Hinweis

    Informationen zu häufigen Problemen bei der Installation finden Sie unter Problembehandlung – Azure Policy-Add-On.For common issues with installation, see Troubleshoot - Azure Policy Add-on.

  2. Machen Sie sich mit der Azure Policy-Sprache für Kubernetes vertraut.Understand the Azure Policy language for Kubernetes

  3. Weisen Sie Ihrem Kubernetes-Cluster eine integrierte Definition zu.Assign a built-in definition to your Kubernetes cluster

  4. Warten auf die ValidierungWait for validation

EinschränkungenLimitations

Die folgenden allgemeinen Einschränkungen gelten für das Azure Policy-Add-On für Kubernetes-Cluster:The following general limitations apply to the Azure Policy Add-on for Kubernetes clusters:

  • Das Azure Policy-Add-On für Kubernetes wird unter der Kubernetes-Version 1.14 oder höher unterstützt.Azure Policy Add-on for Kubernetes is supported on Kubernetes version 1.14 or higher.
  • Das Azure Policy-Add-On für Kubernetes kann nur für Linux-Knotenpools bereitgestellt werden.Azure Policy Add-on for Kubernetes can only be deployed to Linux node pools
  • Es werden nur integrierte Richtliniendefinitionen unterstützt.Only built-in policy definitions are supported
  • Maximale Anzahl nicht konformer Datensätze pro Richtlinie pro Cluster: 500Maximum number of Non-compliant records per policy per cluster: 500
  • Maximale Anzahl nicht konformer Datensätze pro Abonnement: 1 Mio.Maximum number of Non-compliant records per subscription: 1 million
  • Installationen von Gatekeeper außerhalb des Azure Policy-Add-Ons werden nicht unterstützt.Installations of Gatekeeper outside of the Azure Policy Add-on aren't supported. Deinstallieren Sie alle Komponenten, die durch eine frühere Installation von Gatekeeper installiert wurden, bevor Sie das Azure Policy-Add-On aktivieren.Uninstall any components installed by a previous Gatekeeper installation before enabling the Azure Policy Add-on.
  • Ursachen für Nichtkonformität sind für den Microsoft.Kubernetes.Data Ressourcenanbietermodus nicht verfügbar.Reasons for non-compliance aren't available for the Microsoft.Kubernetes.Data Resource Provider mode. Verwenden Sie Komponentendetails.Use Component details.
  • Ausnahmen werden für Ressourcenanbietermodi nicht unterstützt.Exemptions aren't supported for Resource Provider modes.

Die folgenden Einschränkungen gelten nur für das Azure Policy-Add-On für AKS:The following limitations apply only to the Azure Policy Add-on for AKS:

EmpfehlungenRecommendations

Im folgenden finden Sie allgemeine Empfehlungen für die Verwendung des Azure Policy-Add-Ons:The following are general recommendations for using the Azure Policy Add-on:

  • Zur Verwendung des Azure Policy-Add-Ons müssen drei Gatekeeper-Komponenten ausgeführt werden: ein Überwachungspod und zwei Webhook-Podreplikate.The Azure Policy Add-on requires 3 Gatekeeper components to run: 1 audit pod and 2 webhook pod replicas. Diese Komponenten nutzen umso mehr Ressourcen, je stärker die Anzahl der Kubernetes-Ressourcen und Richtlinienzuweisungen im Cluster zunimmt. Dadurch werden entsprechende Überwachungs- und Erzwingungsvorgänge erforderlich.These components consume more resources as the count of Kubernetes resources and policy assignments increases in the cluster which requires audit and enforcement operations.

    • Bei weniger als 500 Pods in einem Cluster mit maximal 20 Einschränkungen gilt Folgendes: 2 vCPUs und 350 MB Arbeitsspeicher pro KomponenteFor less than 500 pods in a single cluster with a max of 20 constraints: 2 vCPUs and 350 MB memory per component.
    • Bei mehr als 500 Pods in einem Cluster mit maximal 40 Einschränkungen gilt Folgendes: 3 vCPUs und 600 MB Arbeitsspeicher pro KomponenteFor more than 500 pods in a single cluster with a max of 40 constraints: 3 vCPUs and 600 MB memory per component.
  • Windows-Pods unterstützen keine Sicherheitskontexte.Windows pods don't support security contexts. Daher können einige Azure Policy-Richtlinien wie das Sperren von Stammberechtigungen in Windows-Pods nicht eskaliert und nur auf Linux-Pods angewendet werden.Thus, some of the Azure Policy definitions, such as disallowing root privileges, can't be escalated in Windows pods and only apply to Linux pods.

Die folgende Empfehlung gilt nur für AKS und das Azure Policy-Add-On:The following recommendation applies only to AKS and the Azure Policy Add-on:

  • Verwenden Sie zum Planen von Gatekeeper-Pods den Systemknotenpool mit einem CriticalAddonsOnly-Taint.Use system node pool with CriticalAddonsOnly taint to schedule Gatekeeper pods. Weitere Informationen finden Sie unter Verwenden von Systemknotenpools.For more information, see Using system node pools.
  • Schützen Sie von Ihren AKS-Clustern ausgehenden Datenverkehr.Secure outbound traffic from your AKS clusters. Weitere Informationen finden Sie unter Steuern des ausgehenden Datenverkehrs für Clusterknoten.For more information, see Control egress traffic for cluster nodes.
  • Wenn für den Cluster aad-pod-identity aktiviert wurde, werden die IPTables der Knoten von NMI-Pods (Node Managed Identity) so geändert, dass Aufrufe für den Azure Instance Metadata-Endpunkt abgefangen werden.If the cluster has aad-pod-identity enabled, Node Managed Identity (NMI) pods modify the nodes' iptables to intercept calls to the Azure Instance Metadata endpoint. Diese Konfiguration bedeutet, dass jede Anforderung, die an den Metadatenendpunkt gerichtet ist, von NMI abgefangen wird, auch wenn aad-pod-identity vom Pod nicht verwendet wird.This configuration means any request made to the Metadata endpoint is intercepted by NMI even if the pod doesn't use aad-pod-identity. Die AzurePodIdentityException-CRD kann so konfiguriert werden, dass aad-pod-identity darüber informiert wird, dass an den Metadatenendpunkt gerichtete Anforderungen, die von einem Pod stammen, der in der CRD definierte Bezeichnungen abgleicht, ohne Verarbeitung in NMI über einen Proxy zu senden sind.AzurePodIdentityException CRD can be configured to inform aad-pod-identity that any requests to the Metadata endpoint originating from a pod that matches labels defined in CRD should be proxied without any processing in NMI. Die Systempods mit der Bezeichnung kubernetes.azure.com/managedby: aks im Namespace kube-system müssen in aad-pod-identity durch Konfiguration der AzurePodIdentityException-CRD ausgeschlossen werden.The system pods with kubernetes.azure.com/managedby: aks label in kube-system namespace should be excluded in aad-pod-identity by configuring the AzurePodIdentityException CRD. Weitere Informationen finden Sie unter Disable aad-pod-identity for a specific pod or application (Deaktivieren von „aad-pod-identity“ für einen bestimmten Pod oder eine bestimmte Anwendung).For more information, see Disable aad-pod-identity for a specific pod or application. Installieren zur Konfiguration einer Ausnahme die YAML-Datei „mic-exception“.To configure an exception, install the mic-exception YAML.

Installieren des Azure Policy-Add-Ons für AKSInstall Azure Policy Add-on for AKS

Bevor Sie das Azure Policy-Add-On installieren oder eines der Dienstfeatures aktivieren, müssen in Ihrem Abonnement die Ressourcenanbieter Microsoft.ContainerService und Microsoft.PolicyInsights aktiviert werden.Before installing the Azure Policy Add-on or enabling any of the service features, your subscription must enable the Microsoft.ContainerService and Microsoft.PolicyInsights resource providers.

  1. Azure CLI-Version 2.12.0 oder höher muss installiert und konfiguriert sein.You need the Azure CLI version 2.12.0 or later installed and configured. Führen Sie az --version aus, um die Version zu ermitteln.Run az --version to find the version. Installations- und Upgradeinformationen finden Sie bei Bedarf unter Installieren von Azure CLI.If you need to install or upgrade, see Install the Azure CLI.

  2. Registrieren Sie die Ressourcenanbieter und die Previewfunktionen.Register the resource providers and preview features.

    • Azure-Portal:Azure portal:

      Registrieren Sie die Ressourcenanbieter Microsoft.ContainerService und Microsoft.PolicyInsights.Register the Microsoft.ContainerService and Microsoft.PolicyInsights resource providers. Weitere Informationen finden Sie unter Ressourcenanbieter und -typen.For steps, see Resource providers and types.

    • Azure CLI:Azure CLI:

      # Log in first with az login if you're not using Cloud Shell
      
      # Provider register: Register the Azure Kubernetes Service provider
      az provider register --namespace Microsoft.ContainerService
      
      # Provider register: Register the Azure Policy provider
      az provider register --namespace Microsoft.PolicyInsights
      
  3. Wenn Richtliniendefinitionen der eingeschränkten Vorschauversion installiert wurden, entfernen Sie das Add-On in Ihrem AKS-Cluster auf der Seite Richtlinien mithilfe der Schaltfläche Deaktivieren.If limited preview policy definitions were installed, remove the add-on with the Disable button on your AKS cluster under the Policies page.

  4. Der AKS-Cluster muss die Version 1.14 oder höher aufweisen.The AKS cluster must be version 1.14 or higher. Verwenden Sie das folgende Skript, um Ihre AKS-Clusterversion zu überprüfen:Use the following script to validate your AKS cluster version:

    # Log in first with az login if you're not using Cloud Shell
    
    # Look for the value in kubernetesVersion
    az aks list
    
  5. Installieren Sie die Azure-Befehlszeilenschnittstelle Version 2.12.0 oder höher.Install version 2.12.0 or higher of the Azure CLI. Weitere Informationen finden Sie unter Installieren der Azure-Befehlszeilenschnittstelle.For more information, see Install the Azure CLI.

Sind die obigen Voraussetzungen erfüllt, installieren Sie das Azure Policy-Add-On in dem zu verwaltenden AKS-Cluster.Once the above prerequisite steps are completed, install the Azure Policy Add-on in the AKS cluster you want to manage.

  • Azure-PortalAzure portal

    1. Starten Sie den AKS-Dienst im Azure-Portal, indem Sie die Option Alle Dienste auswählen und dann nach Kubernetes-Dienste suchen und die entsprechende Option auswählen.Launch the AKS service in the Azure portal by selecting All services, then searching for and selecting Kubernetes services.

    2. Wählen Sie einen Ihrer AKS-Cluster aus.Select one of your AKS clusters.

    3. Wählen Sie links Richtlinien auf der Seite des Kubernetes-Diensts aus.Select Policies on the left side of the Kubernetes service page.

    4. Wählen Sie auf der Hauptseite die Schaltfläche Add-On aktivieren aus.In the main page, select the Enable add-on button.

      Hinweis

      Wenn die Schaltfläche Add-On deaktivieren aktiviert ist und eine Migrationswarnung für v2 angezeigt wird, ist Version 1 des Add-Ons noch installiert und muss entfernt werden, bevor Sie v2-Richtliniendefinitionen zuweisen können.If the Disable add-on button is enabled and a migration warning v2 message is displayed, v1 add-on is installed and must be removed prior to assigning v2 policy definitions. Die veraltete Version 1 des Add-Ons wird ab 24. August 2020 durch Version 2 ersetzt.The deprecated v1 add-on will automatically be replaced with the v2 add-on starting August 24, 2020. Dann müssen neue Richtliniendefinitionen für v2 zugewiesen werden.New v2 versions of the policy definitions must then be assigned. Um das Upgrade jetzt auszuführen, gehen Sie folgendermaßen vor:To upgrade now, follow these steps:

      1. Überprüfen Sie, ob Version 1 des Add-Ons in Ihrem AKS-Cluster installiert ist, indem Sie nachsehen, ob auf der Seite Richtlinien für Ihren AKS-Cluster die Meldung „Der aktuelle Cluster verwendet das Azure Policy-Add-On v1...“ angezeigt wird.Validate your AKS cluster has the v1 add-on installed by visiting the Policies page on your AKS cluster and has the "The current cluster uses Azure Policy add-on v1..." message.
      2. Entfernen Sie das Add-On.Remove the add-on.
      3. Klicken Sie auf die Schaltfläche Add-On aktivieren, um Version 2 des Add-Ons zu installieren.Select the Enable add-on button to install the v2 version of the add-on.
      4. Weisen Sie v2-Versionen Ihrer integrierten v1-Richtliniendefinitionen zu.Assign v2 versions of your v1 built-in policy definitions
  • Azure CLIAzure CLI

    # Log in first with az login if you're not using Cloud Shell
    
    az aks enable-addons --addons azure-policy --name MyAKSCluster --resource-group MyResourceGroup
    

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Installation des Add-Ons erfolgreich war und die Pods azure-policy und gatekeeper ausgeführt werden:To validate that the add-on installation was successful and that the azure-policy and gatekeeper pods are running, run the following command:

# azure-policy pod is installed in kube-system namespace
kubectl get pods -n kube-system

# gatekeeper pod is installed in gatekeeper-system namespace
kubectl get pods -n gatekeeper-system

Vergewissern Sie sich abschließend, dass das neueste Add-On installiert ist. Führen Sie hierzu den folgenden Azure CLI-Befehl aus, und ersetzen Sie dabei <rg> durch den Namen Ihrer Ressourcengruppe und <cluster-name> durch den Namen Ihres AKS-Clusters: az aks show --query addonProfiles.azurepolicy -g <rg> -n <cluster-name>.Lastly, verify that the latest add-on is installed by running this Azure CLI command, replacing <rg> with your resource group name and <cluster-name> with the name of your AKS cluster: az aks show --query addonProfiles.azurepolicy -g <rg> -n <cluster-name>. Das Ergebnis sollte in etwa wie die folgende Ausgabe aussehen, und config.version sollte v2 lauten:The result should look similar to the following output and config.version should be v2:

"addonProfiles": {
    "azurepolicy": {
        "config": {
            "version": "v2"
        },
        "enabled": true,
        "identity": null
    },
}

Installieren des Azure Policy-Add-Ons für Kubernetes mit Azure Arc-Aktivierung (Vorschau)Install Azure Policy Add-on for Azure Arc enabled Kubernetes (preview)

Bevor Sie das Azure Policy-Add-On installieren oder eines der Dienstfeatures aktivieren, muss in Ihrem Abonnement der Microsoft.PolicyInsights-Ressourcenanbieter aktiviert und eine Rollenzuweisung für den Clusterdienstprinzipal erstellt werden.Before installing the Azure Policy Add-on or enabling any of the service features, your subscription must enable the Microsoft.PolicyInsights resource provider and create a role assignment for the cluster service principal.

  1. Azure CLI-Version 2.12.0 oder höher muss installiert und konfiguriert sein.You need the Azure CLI version 2.12.0 or later installed and configured. Führen Sie az --version aus, um die Version zu ermitteln.Run az --version to find the version. Installations- und Upgradeinformationen finden Sie bei Bedarf unter Installieren von Azure CLI.If you need to install or upgrade, see Install the Azure CLI.

  2. Zum Aktivieren des Ressourcenanbieters führen Sie die Schritte unter Ressourcenanbieter und -typen aus, oder führen Sie entweder den Azure CLI- oder Azure PowerShell-Befehl aus:To enable the resource provider, follow the steps in Resource providers and types or run either the Azure CLI or Azure PowerShell command:

    • Azure CLIAzure CLI

      # Log in first with az login if you're not using Cloud Shell
      
      # Provider register: Register the Azure Policy provider
      az provider register --namespace 'Microsoft.PolicyInsights'
      
    • Azure PowerShellAzure PowerShell

      # Log in first with Connect-AzAccount if you're not using Cloud Shell
      
      # Provider register: Register the Azure Policy provider
      Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
      
  3. Die Version des Kubernetes-Clusters muss mindestens 1.14 sein.The Kubernetes cluster must be version 1.14 or higher.

  4. Installieren Sie Helm 3.Install Helm 3.

  5. Für Ihren Kubernetes-Cluster muss Azure Arc aktiviert werden. Weitere Informationen finden Sie unter Herstellen einer Verbindung für einen Kubernetes-Cluster mit Azure Arc-Aktivierung (Vorschau).Your Kubernetes cluster enabled for Azure Arc. For more information, see onboarding a Kubernetes cluster to Azure Arc.

  6. Sie benötigen die vollqualifizierte Azure-Ressourcen-ID des Kubernetes-Clusters mit Azure Arc-Aktivierung.Have the fully qualified Azure Resource ID of the Azure Arc enabled Kubernetes cluster.

  7. Öffnen Sie Ports für das Add-On.Open ports for the add-on. Vom Azure Policy-Add-On werden die folgenden Domänen und Ports verwendet, um Richtliniendefinitionen und Zuweisungen abzurufen und um die Konformität des Clusters an Azure Policy zu melden:The Azure Policy Add-on uses these domains and ports to fetch policy definitions and assignments and report compliance of the cluster back to Azure Policy.

    DomainDomain PortPort
    gov-prod-policy-data.trafficmanager.net 443
    raw.githubusercontent.com 443
    login.windows.net 443
    dc.services.visualstudio.com 443
  8. Weisen Sie dem Kubernetes-Cluster mit Azure Arc-Aktivierung die Rolle „Policy Insights Data Writer (Preview)“ (Policy Insights-Datenschreiber (Vorschau)) zu.Assign 'Policy Insights Data Writer (Preview)' role assignment to the Azure Arc enabled Kubernetes cluster. Ersetzen Sie <subscriptionId> durch Ihre Abonnement-ID, <rg> durch die Ressourcengruppe des Kubernetes-Clusters mit Azure Arc-Aktivierung und <clusterName> durch den Namen des Kubernetes-Clusters mit Azure Arc-Aktivierung.Replace <subscriptionId> with your subscription ID, <rg> with the Azure Arc enabled Kubernetes cluster's resource group, and <clusterName> with the name of the Azure Arc enabled Kubernetes cluster. Erfassen Sie die zurückgegebenen Werte für appId, password und tenant. Sie werden für die Installationsschritte benötigt.Keep track of the returned values for appId, password, and tenant for the installation steps.

    • Azure CLIAzure CLI

      az ad sp create-for-rbac --role "Policy Insights Data Writer (Preview)" --scopes "/subscriptions/<subscriptionId>/resourceGroups/<rg>/providers/Microsoft.Kubernetes/connectedClusters/<clusterName>"
      
    • Azure PowerShellAzure PowerShell

      $sp = New-AzADServicePrincipal -Role "Policy Insights Data Writer (Preview)" -Scope "/subscriptions/<subscriptionId>/resourceGroups/<rg>/providers/Microsoft.Kubernetes/connectedClusters/<clusterName>"
      
      @{ appId=$sp.ApplicationId;password=[System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret));tenant=(Get-AzContext).Tenant.Id } | ConvertTo-Json
      

    Beispielausgabe der obigen Befehle:Sample output of the above commands:

    {
        "appId": "aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa",
        "password": "bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb",
        "tenant": "cccccccc-cccc-cccc-cccc-cccccccccccc"
    }
    

Sind die obigen Voraussetzungen erfüllt, installieren Sie das Azure Policy-Add-On in Ihrem Kubernetes-Cluster mit Azure Arc-Aktivierung:Once the above prerequisite steps are completed, install the Azure Policy Add-on in your Azure Arc enabled Kubernetes cluster:

  1. Fügen Sie das Azure Policy-Add-On-Repository zu Helm hinzu:Add the Azure Policy Add-on repo to Helm:

    helm repo add azure-policy https://raw.githubusercontent.com/Azure/azure-policy/master/extensions/policy-addon-kubernetes/helm-charts
    
  2. Installieren Sie das Azure Policy-Add-On per Helm-Chart:Install the Azure Policy Add-on using Helm Chart:

    # In below command, replace the following values with those gathered above.
    #    <AzureArcClusterResourceId> with your Azure Arc enabled Kubernetes cluster resource Id. For example: /subscriptions/<subscriptionId>/resourceGroups/<rg>/providers/Microsoft.Kubernetes/connectedClusters/<clusterName>
    #    <ServicePrincipalAppId> with app Id of the service principal created during prerequisites.
    #    <ServicePrincipalPassword> with password of the service principal created during prerequisites.
    #    <ServicePrincipalTenantId> with tenant of the service principal created during prerequisites.
    helm install azure-policy-addon azure-policy/azure-policy-addon-arc-clusters \
        --set azurepolicy.env.resourceid=<AzureArcClusterResourceId> \
        --set azurepolicy.env.clientid=<ServicePrincipalAppId> \
        --set azurepolicy.env.clientsecret=<ServicePrincipalPassword> \
        --set azurepolicy.env.tenantid=<ServicePrincipalTenantId>
    

    Weitere Informationen dazu, was mit dem Helm-Diagramm des Add-Ons installiert wird, finden Sie in der Definition des Helm-Diagramms für das Azure Policy Add-On auf GitHub.For more information about what the add-on Helm Chart installs, see the Azure Policy Add-on Helm Chart definition on GitHub.

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Installation des Add-Ons erfolgreich war und die Pods azure-policy und gatekeeper ausgeführt werden:To validate that the add-on installation was successful and that the azure-policy and gatekeeper pods are running, run the following command:

# azure-policy pod is installed in kube-system namespace
kubectl get pods -n kube-system

# gatekeeper pod is installed in gatekeeper-system namespace
kubectl get pods -n gatekeeper-system

Installieren des Azure Policy-Add-Ons für die AKS-Engine (Vorschau)Install Azure Policy Add-on for AKS Engine (preview)

Bevor Sie das Azure Policy-Add-On installieren oder eines der Dienstfeatures aktivieren, muss in Ihrem Abonnement der Microsoft.PolicyInsights-Ressourcenanbieter aktiviert und eine Rollenzuweisung für den Clusterdienstprinzipal erstellt werden.Before installing the Azure Policy Add-on or enabling any of the service features, your subscription must enable the Microsoft.PolicyInsights resource provider and create a role assignment for the cluster service principal.

  1. Azure CLI-Version 2.0.62 oder höher muss installiert und konfiguriert sein.You need the Azure CLI version 2.0.62 or later installed and configured. Führen Sie az --version aus, um die Version zu ermitteln.Run az --version to find the version. Installations- und Upgradeinformationen finden Sie bei Bedarf unter Installieren von Azure CLI.If you need to install or upgrade, see Install the Azure CLI.

  2. Zum Aktivieren des Ressourcenanbieters führen Sie die Schritte unter Ressourcenanbieter und -typen aus, oder führen Sie entweder den Azure CLI- oder Azure PowerShell-Befehl aus:To enable the resource provider, follow the steps in Resource providers and types or run either the Azure CLI or Azure PowerShell command:

    • Azure CLIAzure CLI

      # Log in first with az login if you're not using Cloud Shell
      
      # Provider register: Register the Azure Policy provider
      az provider register --namespace 'Microsoft.PolicyInsights'
      
    • Azure PowerShellAzure PowerShell

      # Log in first with Connect-AzAccount if you're not using Cloud Shell
      
      # Provider register: Register the Azure Policy provider
      Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
      
  3. Erstellen Sie eine Rollenzuweisung für den Clusterdienstprinzipal.Create a role assignment for the cluster service principal.

    • Wenn Ihnen die App-ID des Clusterdienstprinzipals nicht bekannt ist, suchen Sie mit dem folgenden Befehl danach.If you don't know the cluster service principal app ID, look it up with the following command.

      # Get the kube-apiserver pod name
      kubectl get pods -n kube-system
      
      # Find the aadClientID value
      kubectl exec <kube-apiserver pod name> -n kube-system cat /etc/kubernetes/azure.json
      
    • Weisen Sie der App-ID des Clusterdienstprinzipals (Wert aadClientID aus dem vorherigen Schritt) mit der Azure CLI die Rolle „Policy Insights Data Writer (Preview)“ zu.Assign 'Policy Insights Data Writer (Preview)' role assignment to the cluster service principal app ID (value aadClientID from previous step) with Azure CLI. Ersetzen Sie <subscriptionId> durch Ihre Abonnement-ID und <aks engine cluster resource group> durch die Ressourcengruppe, in der sich der selbstverwaltete Kubernetes-Cluster der AKS-Engine befindet.Replace <subscriptionId> with your subscription ID and <aks engine cluster resource group> with the resource group the AKS Engine self-managed Kubernetes cluster is in.

      az role assignment create --assignee <cluster service principal app ID> --scope "/subscriptions/<subscriptionId>/resourceGroups/<aks engine cluster resource group>" --role "Policy Insights Data Writer (Preview)"
      

Sind die obigen Voraussetzungen erfüllt, installieren Sie das Azure Policy-Add-On.Once the above prerequisite steps are completed, install the Azure Policy Add-on. Die Installation kann während des Erstellungs- oder Aktualisierungszyklus einer AKS-Engine oder als unabhängige Aktion auf einem vorhandenen Cluster erfolgen.The installation can be during the creation or update cycle of an AKS Engine or as an independent action on an existing cluster.

  • Installation während des Erstellungs- oder AktualisierungszyklusInstall during creation or update cycle

    Um das Azure Policy Add-On während der Erstellung eines neuen selbstverwalteten Clusters oder als Update für einen vorhandenen Cluster zu aktivieren, schließen Sie die Eigenschaft addons in die Clusterdefinition für die AKS-Engine ein.To enable the Azure Policy Add-on during the creation of a new self-managed cluster or as an update to an existing cluster, include the addons property cluster definition for AKS Engine.

    "addons": [{
        "name": "azure-policy",
        "enabled": true
    }]
    

    Weitere Informationen dazu finden Sie im externen Leitfaden zur Clusterdefinition für die AKS-Engine.For more information about, see the external guide AKS Engine cluster definition.

  • Installation in vorhandenem Cluster mit Helm-DiagrammenInstall in existing cluster with Helm Charts

    Führen Sie die folgenden Schritte aus, um den Cluster vorzubereiten und das Add-On zu installieren:Use the following steps to prepare the cluster and install the add-on:

    1. Installieren Sie Helm 3.Install Helm 3.

    2. Fügen Sie Helm das Azure Policy-Repository hinzu.Add the Azure Policy repo to Helm.

      helm repo add azure-policy https://raw.githubusercontent.com/Azure/azure-policy/master/extensions/policy-addon-kubernetes/helm-charts
      

      Weitere Informationen finden Sie in der Schnellstartanleitung zum Helm-Diagramm.For more information, see Helm Chart - Quickstart Guide.

    3. Installieren Sie das Add-On mit einem Helm-Diagramm.Install the add-on with a Helm Chart. Ersetzen Sie <subscriptionId> durch Ihre Abonnement-ID und <aks engine cluster resource group> durch die Ressourcengruppe, in der sich der selbstverwaltete Kubernetes-Cluster der AKS-Engine befindet.Replace <subscriptionId> with your subscription ID and <aks engine cluster resource group> with the resource group the AKS Engine self-managed Kubernetes cluster is in.

      helm install azure-policy-addon azure-policy/azure-policy-addon-aks-engine --set azurepolicy.env.resourceid="/subscriptions/<subscriptionId>/resourceGroups/<aks engine cluster resource group>"
      

      Weitere Informationen dazu, was mit dem Helm-Diagramm des Add-Ons installiert wird, finden Sie in der Definition des Helm-Diagramms für das Azure Policy Add-On auf GitHub.For more information about what the add-on Helm Chart installs, see the Azure Policy Add-on Helm Chart definition on GitHub.

      Hinweis

      Aufgrund der Beziehung zwischen Azure Policy Add-On und Ressourcengruppen-ID unterstützt Azure Policy nur einen AKS-Engine-Cluster für jede Ressourcengruppe.Because of the relationship between Azure Policy Add-on and the resource group id, Azure Policy supports only one AKS Engine cluster for each resource group.

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Installation des Add-Ons erfolgreich war und die Pods azure-policy und gatekeeper ausgeführt werden:To validate that the add-on installation was successful and that the azure-policy and gatekeeper pods are running, run the following command:

# azure-policy pod is installed in kube-system namespace
kubectl get pods -n kube-system

# gatekeeper pod is installed in gatekeeper-system namespace
kubectl get pods -n gatekeeper-system

RichtliniensprachePolicy language

Die Struktur der Azure Policy-Sprache für die Verwaltung von Kubernetes orientiert sich an der Struktur bereits vorhandener Richtliniendefinitionen.The Azure Policy language structure for managing Kubernetes follows that of existing policy definitions. Mit einem Ressourcenanbietermodus von Microsoft.Kubernetes.Data werden die Auswirkungen von audit und deny zum Verwalten Ihrer Kubernetes-Cluster verwendet.With a Resource Provider mode of Microsoft.Kubernetes.Data, the effects audit and deny are used to manage your Kubernetes clusters. Audit und deny müssen details-Eigenschaften bereitstellen, die für das Arbeiten mit dem OPA Constraint Framework und Gatekeeper v3 spezifisch sind.Audit and deny must provide details properties specific to working with OPA Constraint Framework and Gatekeeper v3.

Als Teil der Eigenschaften details.constraintTemplate und details.constraint in der Richtliniendefinition übergibt Azure Policy die URIs dieser CustomResourceDefinitions (CRD) an das Add-On.As part of the details.constraintTemplate and details.constraint properties in the policy definition, Azure Policy passes the URIs of these CustomResourceDefinitions (CRD) to the add-on. Rego ist die Sprache, die von OPA und Gatekeeper unterstützt wird, um eine Anforderung an den Kubernetes-Cluster zu validieren.Rego is the language that OPA and Gatekeeper support to validate a request to the Kubernetes cluster. Durch die Unterstützung eines bestehenden Standards für das Kubernetes-Management ermöglicht Azure Policy die Wiederverwendung bestehender Regeln und deren Kombination mit Azure Policy für eine einheitliche Berichterstellungsumgebung zur Cloud-Compliance.By supporting an existing standard for Kubernetes management, Azure Policy makes it possible to reuse existing rules and pair them with Azure Policy for a unified cloud compliance reporting experience. Weitere Informationen finden Sie unter Was ist Rego?For more information, see What is Rego?.

Zuweisen einer integrierten RichtliniendefinitionAssign a built-in policy definition

Um Ihrem Kubernetes-Cluster eine Richtliniendefinition zuweisen zu können, müssen Ihnen die entsprechenden Azure RBAC-Richtlinienzuweisungsvorgänge (Azure Role-Based Access Control, rollenbasierte Zugriffssteuerung) zugewiesen sein.To assign a policy definition to your Kubernetes cluster, you must be assigned the appropriate Azure role-based access control (Azure RBAC) policy assignment operations. Die in Azure integrierten Rollen Mitwirkender bei Ressourcenrichtlinien und Besitzer verfügen über diese Vorgänge.The Azure built-in roles Resource Policy Contributor and Owner have these operations. Weitere Informationen finden Sie unter Azure RBAC-Berechtigungen in Azure Policy.To learn more, see Azure RBAC permissions in Azure Policy.

Führen Sie die folgenden Schritte aus, um die integrierten Richtliniendefinitionen für die Verwaltung Ihres Clusters über das Azure-Portal zu finden:Find the built-in policy definitions for managing your cluster using the Azure portal with the following steps:

  1. Starten Sie den Azure Policy-Dienst im Azure-Portal.Start the Azure Policy service in the Azure portal. Wählen Sie Alle Dienste im linken Bereich aus, suchen Sie dann nach der Option Richtlinie und wählen Sie sie aus.Select All services in the left pane and then search for and select Policy.

  2. Wählen Sie im linken Bereich der Seite „Azure Policy“ die Option Definitionen aus.In the left pane of the Azure Policy page, select Definitions.

  3. Verwenden Sie im Dropdown-Listenfeld „Kategorie“ die Option Alle auswählen, um den Filter zu löschen, und wählen Sie dann Kubernetes aus.From the Category drop-down list box, use Select all to clear the filter and then select Kubernetes.

  4. Wählen Sie die Richtliniendefinition und dann die Schaltfläche Zuweisen aus.Select the policy definition, then select the Assign button.

  5. Legen Sie den Bereich auf die Verwaltungsgruppe, das Abonnement oder die Ressourcengruppe des Kubernetes-Clusters fest, in dem die Richtlinienzuweisung angewendet wird.Set the Scope to the management group, subscription, or resource group of the Kubernetes cluster where the policy assignment will apply.

    Hinweis

    Beim Zuweisen der Definition für Azure Policy für Kubernetes muss der Bereich die Clusterressource enthalten.When assigning the Azure Policy for Kubernetes definition, the Scope must include the cluster resource. Bei einem AKS-Engine-Cluster muss der Bereich die Ressourcengruppe des Clusters sein.For an AKS Engine cluster, the Scope must be the resource group of the cluster.

  6. Weisen Sie der Richtlinienzuweisung einen Namen und eine Beschreibung zu, die Sie zur einfachen Identifizierung verwenden können.Give the policy assignment a Name and Description that you can use to identify it easily.

  7. Legen Sie die Policy enforcement (Richtlinienerzwingung) auf einen der unten aufgeführten Werte fest.Set the Policy enforcement to one of the values below.

    • Aktiviert: Erzwingen Sie die Richtlinie auf dem Cluster.Enabled - Enforce the policy on the cluster. Kubernetes-Zulassungsanforderungen mit Verstößen werden verweigert.Kubernetes admission requests with violations are denied.

    • Deaktiviert: Erzwingen Sie die Richtlinie nicht auf dem Cluster.Disabled - Don't enforce the policy on the cluster. Kubernetes-Zulassungsanforderungen mit Verstößen werden nicht verweigert.Kubernetes admission requests with violations aren't denied. Die Ergebnisse der Konformitätsbewertung sind weiterhin verfügbar.Compliance assessment results are still available. Beim Rollout neuer Richtliniendefinitionen für aktive Cluster ist die Option Deaktiviert hilfreich, um die Richtliniendefinition zu testen, da Zulassungsanforderungen mit Verstößen nicht verweigert werden.When rolling out new policy definitions to running clusters, Disabled option is helpful for testing the policy definition as admission requests with violations aren't denied.

  8. Wählen Sie Weiter aus.Select Next.

  9. Festlegen von ParameterwertenSet parameter values

    • Geben Sie die Liste der Namespaces im Parameter Namespaceausschlüsse an, um Kubernetes-Namespaces aus der Richtlinienauswertung auszuschließen.To exclude Kubernetes namespaces from policy evaluation, specify the list of namespaces in parameter Namespace exclusions. Es wird empfohlen, Folgendes auszuschließen: kube-system, gatekeeper-system und azure-arc.It's recommended to exclude: kube-system, gatekeeper-system, and azure-arc.
  10. Klicken Sie auf Überprüfen + erstellen.Select Review + create.

Verwenden Sie alternativ Schnellstart: Erstellen einer Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen, um eine Kubernetes-Richtlinie zu finden und zuzuweisen.Alternately, use the Assign a policy - Portal quickstart to find and assign a Kubernetes policy. Suchen Sie nach einer Kubernetes-Richtliniendefinition anstelle des Musters „audit vms“.Search for a Kubernetes policy definition instead of the sample 'audit vms'.

Wichtig

Integrierte Richtliniendefinitionen stehen für Kubernetes-Cluster in der Kategorie Kubernetes zur Verfügung.Built-in policy definitions are available for Kubernetes clusters in category Kubernetes. Eine Liste der integrierten Richtliniendefinitionen finden Sie unter Kubernetes-Beispiele.For a list of built-in policy definitions, see Kubernetes samples.

RichtlinienauswertungPolicy evaluation

Das Add-On prüft alle 15 Minuten mit dem Azure Policy-Dienst, ob sich die Richtlinienzuweisungen geändert haben.The add-on checks in with Azure Policy service for changes in policy assignments every 15 minutes. Während dieses Aktualisierungszyklus nimmt das Add-On eine Prüfung auf Änderungen vor.During this refresh cycle, the add-on checks for changes. Diese Änderungen lösen das Erstellen, Aktualisieren oder Löschen der Einschränkungsvorlagen und Einschränkungen aus.These changes trigger creates, updates, or deletes of the constraint templates and constraints.

Wenn ein Namespace in einem Kubernetes-Cluster über eine der folgenden Bezeichnungen verfügt, werden Zulassungsanforderungen mit Verstößen nicht verweigert.In a Kubernetes cluster, if a namespace has either of the following labels, the admission requests with violations aren't denied. Die Ergebnisse der Konformitätsbewertung sind weiterhin verfügbar.Compliance assessment results are still available.

  • control-plane
  • admission.policy.azure.com/ignore

Hinweis

Ein Clusteradministrator verfügt zwar möglicherweise über die Berechtigung zum Erstellen und Aktualisieren von Einschränkungsvorlagen und -ressourcen, die durch das Azure Policy-Add-On installiert wurden, hierbei handelt es sich jedoch nicht um unterstützte Szenarien, da manuelle Updates überschrieben werden.While a cluster admin may have permission to create and update constraint templates and constraints resources install by the Azure Policy Add-on, these aren't supported scenarios as manual updates are overwritten. Richtlinien, die vor der Installation des Add-Ons und vor der Zuweisung von Azure Policy-Richtliniendefinitionen vorhanden waren, werden weiterhin von Gatekeeper ausgewertet.Gatekeeper continues to evaluate policies that existed prior to installing the add-on and assigning Azure Policy policy definitions.

Das Add-On fordert alle 15 Minuten einen vollständigen Scan des Clusters an.Every 15 minutes, the add-on calls for a full scan of the cluster. Nachdem Details des vollständigen Scans und alle Echtzeitauswertungen von versuchten Änderungen am Cluster durch Gatekeeper erfasst wurden, meldet das Add-On die Ergebnisse an Azure Policy zurück, um sie in Konformitätsdetails wie bei allen Azure Policy-Zuweisungen aufzunehmen.After gathering details of the full scan and any real-time evaluations by Gatekeeper of attempted changes to the cluster, the add-on reports the results back to Azure Policy for inclusion in compliance details like any Azure Policy assignment. Während des Prüfzyklus werden nur Ergebnisse für aktive Richtlinienzuweisungen zurückgegeben.Only results for active policy assignments are returned during the audit cycle. Prüfungsergebnisse können auch als Violations (Verstöße) angezeigt werden, die im Statusfeld der fehlerhaften Einschränkung aufgeführt sind.Audit results can also be seen as violations listed in the status field of the failed constraint. Weitere Informationen zu nicht konformen Ressourcen finden Sie unter Komponentendetails für Ressourcenanbietermodi.For details on Non-compliant resources, see Component details for Resource Provider modes.

Hinweis

Jeder Konformitätsbericht in Azure Policy für Ihre Kubernetes-Cluster umfasst sämtliche Verstöße der letzten 45 Minuten.Each compliance report in Azure Policy for your Kubernetes clusters include all violations within the last 45 minutes. Der Zeitstempel gibt an, wann ein Verstoß aufgetreten ist.The timestamp indicates when a violation occurred.

Einige weitere Überlegungen:Some other considerations:

  • Wenn das Clusterabonnement bei Azure Security Center registriert ist, werden automatisch Kubernetes-Richtlinien von Azure Security Center auf den Cluster angewendet.If the cluster subscription is registered with Azure Security Center, then Azure Security Center Kubernetes policies are applied on the cluster automatically.

  • Wenn eine Ablehnungsrichtlinie auf einen Cluster mit vorhandenen Kubernetes-Ressourcen angewendet wird, werden alle ggf. bereits vorhandenen Ressourcen, die nicht mit der neuen Richtlinie konform sind, weiterhin ausgeführt.When a deny policy is applied on cluster with existing Kubernetes resources, any preexisting resource that is not compliant with the new policy continues to run. Wenn die nicht konforme Ressource auf einem anderen Knoten neu geplant wird, wird die Ressourcenerstellung durch Gatekeeper blockiert.When the non-compliant resource gets rescheduled on a different node the Gatekeeper blocks the resource creation.

  • Wenn ein Cluster über eine Ablehnungsrichtlinie verfügt, durch die Ressourcen überprüft werden, wird dem Benutzer beim Erstellen einer Bereitstellung keine Ablehnungsmeldung angezeigt.When a cluster has a deny policy that validates resources, the user will not see a rejection message when creating a deployment. Stellen Sie sich beispielsweise eine Kubernetes-Bereitstellung vor, die Replikatgruppen und Pods enthält.For example, consider a Kubernetes deployment that contains replicasets and pods. Wenn ein Benutzer kubectl describe deployment $MY_DEPLOYMENT ausführt, wird im Rahmen von Ereignissen keine Ablehnungsmeldung zurückgegeben.When a user executes kubectl describe deployment $MY_DEPLOYMENT, it does not return a rejection message as part of events. Von kubectl describe replicasets.apps $MY_DEPLOYMENT werden jedoch die mit der Ablehnung zusammenhängenden Ereignisse zurückgegeben.However, kubectl describe replicasets.apps $MY_DEPLOYMENT returns the events associated with rejection.

ProtokollierungLogging

Als Kubernetes-Controller/-Container werden sowohl vom Pod azure-policy als auch vom Pod gatekeeper Protokolle im Kubernetes-Cluster gespeichert.As a Kubernetes controller/container, both the the azure-policy and gatekeeper pods keep logs in the Kubernetes cluster. Die Protokolle können auf der Seite Insights des Kubernetes-Clusters verfügbar gemacht werden.The logs can be exposed in the Insights page of the Kubernetes cluster. Weitere Informationen finden Sie unter Überwachen der Leistung von Kubernetes-Clustern mit Azure Monitor für Container.For more information, see Monitor your Kubernetes cluster performance with Azure Monitor for containers.

Verwenden Sie kubectl, um die Add-On-Protokolle anzuzeigen:To view the add-on logs, use kubectl:

# Get the azure-policy pod name installed in kube-system namespace
kubectl logs <azure-policy pod name> -n kube-system

# Get the gatekeeper pod name installed in gatekeeper-system namespace
kubectl logs <gatekeeper pod name> -n gatekeeper-system

Weitere Informationen finden Sie in der Gatekeeper-Dokumentation unter Debuggen.For more information, see Debugging Gatekeeper in the Gatekeeper documentation.

Behandeln von Problemen mit dem Add-OnTroubleshooting the add-on

Weitere Informationen zur Behandlung von Problemen im Zusammenhang mit dem Add-On für Kubernetes finden Sie im Kubernetes-Abschnitt des Artikels zur Azure Policy-Problembehandlung.For more information about troubleshooting the Add-on for Kubernetes, see the Kubernetes section of the Azure Policy troubleshooting article.

Entfernen des Add-OnsRemove the add-on

Entfernen des Add-Ons aus AKSRemove the add-on from AKS

Verwenden Sie zum Entfernen des Azure Policy-Add-Ons aus Ihrem AKS-Cluster entweder das Azure-Portal oder die Azure CLI:To remove the Azure Policy Add-on from your AKS cluster, use either the Azure portal or Azure CLI:

  • Azure-PortalAzure portal

    1. Starten Sie den AKS-Dienst im Azure-Portal, indem Sie die Option Alle Dienste auswählen und dann nach Kubernetes-Dienste suchen und die entsprechende Option auswählen.Launch the AKS service in the Azure portal by selecting All services, then searching for and selecting Kubernetes services.

    2. Wählen Sie Ihren AKS-Cluster aus, in dem Sie das Azure Policy-Add-On deaktivieren möchten.Select your AKS cluster where you want to disable the Azure Policy Add-on.

    3. Wählen Sie links Richtlinien auf der Seite des Kubernetes-Diensts aus.Select Policies on the left side of the Kubernetes service page.

    4. Wählen Sie auf der Hauptseite die Schaltfläche Add-On deaktivieren aus.In the main page, select the Disable add-on button.

  • Azure CLIAzure CLI

    # Log in first with az login if you're not using Cloud Shell
    
    az aks disable-addons --addons azure-policy --name MyAKSCluster --resource-group MyResourceGroup
    

Entfernen des Add-Ins aus Kubernetes mit Azure Arc-AktivierungRemove the add-on from Azure Arc enabled Kubernetes

Führen Sie den folgenden Helm-Befehl aus, um das Azure Policy-Add-On und Gatekeeper aus Ihrem Kubernetes-Cluster mit Azure Arc-Aktivierung zu entfernen:To remove the Azure Policy Add-on and Gatekeeper from your Azure Arc enabled Kubernetes cluster, run the following Helm command:

helm uninstall azure-policy-addon

Entfernen des Add-Ons aus der AKS-EngineRemove the add-on from AKS Engine

Wenn Sie das Azure Policy Add-On und Gatekeeper aus dem AKS-Engine-Cluster entfernen möchten, verwenden Sie die Methode, die der Installationsweise des Add-Ons entspricht:To remove the Azure Policy Add-on and Gatekeeper from your AKS Engine cluster, use the method that aligns with how the add-on was installed:

  • Bei Installation durch Festlegen der addons-Eigenschaft in der Clusterdefinition für die AKS-Engine:If installed by setting the addons property in the cluster definition for AKS Engine:

    Stellen Sie die Clusterdefinition erneut für die AKS-Engine bereit, nachdem Sie die addons-Eigenschaft für azure-policy in „false“ geändert haben:Redeploy the cluster definition to AKS Engine after changing the addons property for azure-policy to false:

    "addons": [{
        "name": "azure-policy",
        "enabled": false
    }]
    

    Weitere Informationen finden Sie unter Deaktivieren des Azure Policy-Add-Ons.For more information, see AKS Engine - Disable Azure Policy Add-on.

  • Wenn die Installation mit Helm-Charts durchgeführt wurde, führen Sie den folgenden Helm-Befehl aus:If installed with Helm Charts, run the following Helm command:

    helm uninstall azure-policy-addon
    

Vom Azure Policy-Add-On gesammelte DiagnosedatenDiagnostic data collected by Azure Policy Add-on

Das Azure Policy-Add-On für Kubernetes sammelt begrenzte Clusterdiagnosedaten.The Azure Policy Add-on for Kubernetes collects limited cluster diagnostic data. Diese Diagnosedaten sind wichtige technische Daten in Bezug auf Software und Leistung.This diagnostic data is vital technical data related to software and performance. Sie werden für folgende Zwecke verwendet:It's used in the following ways:

  • Azure Policy Add-On auf dem neuesten Stand haltenKeep Azure Policy Add-on up to date
  • Azure Policy Add-On sicher, zuverlässig und leistungsfähig haltenKeep Azure Policy Add-on secure, reliable, performant
  • Azure Policy Add-On verbessern – durch die aggregierte Analyse der Verwendung des Add-OnsImprove Azure Policy Add-on - through the aggregate analysis of the use of the add-on

Die vom Add-On gesammelten Informationen sind keine persönlichen Daten.The information collected by the add-on isn't personal data. Die folgenden Details werden derzeit gesammelt:The following details are currently collected:

  • Version des Azure Policy-Add-On-AgentsAzure Policy Add-on agent version
  • ClustertypCluster type
  • ClusterregionCluster region
  • ClusterressourcengruppeCluster resource group
  • Clusterressourcen-IDCluster resource ID
  • Clusterabonnement-IDCluster subscription ID
  • Clusterbetriebssystem (Beispiel: Linux)Cluster OS (Example: Linux)
  • Ort für den Cluster (Beispiel: Seattle)Cluster city (Example: Seattle)
  • Bundesland oder Kanton für den Cluster (Beispiel: Washington)Cluster state or province (Example: Washington)
  • Land oder Region für den Cluster (Beispiel: USA)Cluster country or region (Example: United States)
  • Ausnahmen/Fehler, die während der Installation des Agents bei der Richtlinienauswertung durch das Azure Policy Add-On festgestellt werdenExceptions/errors encountered by Azure Policy Add-on during agent installation on policy evaluation
  • Anzahl von Gatekeeper-Richtliniendefinitionen, die nicht durch das Azure Policy-Add-On installiert wurdenNumber of Gatekeeper policy definitions not installed by Azure Policy Add-on

Nächste SchritteNext steps