Configuraties op schaal toepassen met behulp van Azure Policy

U kunt Azure Policy configuraties (resourcetype) op schaal toepassen op Microsoft.KubernetesConfiguration/sourceControlConfigurations kubernetes-clusters Azure Arc kubernetes Microsoft.Kubernetes/connectedclusters ().

Als u Azure Policy, selecteert u een ingebouwde GitOps-beleidsdefinitie en maakt u een beleidstoewijzing. Bij het maken van de beleidstoewijzing:

1. Stel het bereik voor de toewijzing in.
   • Het bereik bestaat uit alle resourcegroepen in een abonnement, beheergroep of specifieke resourcegroepen.
2. Stel de parameters in voor de GitOps-configuratie die wordt gemaakt.

Zodra de toewijzing is gemaakt, identificeert de Azure Policy-engine alle kubernetes-clusters met Azure Arc-mogelijkheden binnen het bereik en past de GitOps-configuratie toe op elk cluster.

Als u scheiding van problemen wilt inschakelen, kunt u meerdere beleidstoewijzingen maken, elk met een andere GitOps-configuratie die verwijst naar een andere Git-repo. Een opslagplaats kan bijvoorbeeld worden gebruikt door clusterbeheerders en andere opslagplaatsen kunnen worden gebruikt door toepassingsteams.

Vereiste

Controleer of u Microsoft.Authorization/policyAssignments/write machtigingen hebt voor het bereik (abonnement of resourcegroep) waar u deze beleidstoewijzing maakt.

Een beleidstoewijzing maken

1. Ga in Azure Portal naar Beleid.
2. Selecteer definities in de sectie Ontwerp van de zijbalk.
3. Kies in de categorie Kubernetes de ingebouwde beleidsdefinitie 'Kubernetes-clusters configureren met opgegeven GitOps-configuratie zonder geheimen'.
4. Klik op Toewijzen.
5. Stel Het Bereik in op de beheergroep, het abonnement of de resourcegroep waarop de beleidstoewijzing van toepassing is.
   • Als u resources wilt uitsluiten van het bereik voor beleidstoewijzing, stelt u Uitsluitingen in.
6. Geef de beleidstoewijzing een gemakkelijk te herkennen naam en beschrijving.
7. Zorg ervoor dat Beleids afdwinging is ingesteld op Ingeschakeld.
8. Selecteer Next.
9. Stel de parameterwaarden in die moeten worden gebruikt bij het maken van de sourceControlConfiguration .
   • Zie de zelfstudie over het implementeren van GitOps-configuratiesvoor meer informatie over parameters.
10. Selecteer Next.
11. Schakel Een hersteltaak maken in.
12. Controleer of Het maken van een beheerde identiteit is ingeschakeld en of de identiteit inzendermachtigingen heeft.
    • Zie de quickstart Een beleidstoewijzing maken en het artikel Niet-compatibele resourcesherstellen met Azure Policy voor meer informatie.
13. Selecteer Controleren + maken.

Nadat de beleidstoewijzing is gemaakt, wordt de configuratie toegepast op nieuwe Kubernetes Azure Arc clusters die zijn gemaakt binnen het bereik van de beleidstoewijzing.

Voor bestaande clusters moet u mogelijk handmatig een hersteltaak uitvoeren. Het duurt doorgaans 10 tot 20 minuten voordat de beleidstoewijzing is doorgevoerd.

Een beleidstoewijzing controleren

1. Navigeer Azure Portal de pagina naar een van Azure Arc Kubernetes-clusters met ingeschakelde functie.
2. Selecteer in Instellingen sectie van de zijbalk Beleidsregels.
   • In de lijst ziet u de beleidstoewijzing die u eerder hebt gemaakt met de nalevingstoestand ingesteld op Compatibel.
3. Selecteer in Instellingen sectie van de zijbalk GitOps.
   • In de lijst met configuraties ziet u de configuratie die is gemaakt door de beleidstoewijzing.
4. Gebruik kubectl om het cluster te interrogateren.
   • U ziet de naamruimte en artefacten die zijn gemaakt door de GitOps-configuratie.
   • U ziet nu de objecten die worden beschreven door de manifesten in de Git-repo die op het cluster wordt geïmplementeerd.

Volgende stappen

Stel Azure Monitor voor containers in Azure Arc Kubernetes-clustersmet ingeschakelde .