Gerenciar o Kubernetes habilitado para Azure Arc usando o Azure Policy e o Azure Monitor
O Azure Arc centraliza e simplifica o gerenciamento habilitando uma variedade de serviços do Azure, como a Política do Azure e o Azure Monitor.
Nesta unidade, você aprenderá a usar esses serviços para gerenciar e monitorar clusters Kubernetes habilitados para Azure Arc.
Azure Policy
A Política do Azure usa regras declarativas com base em propriedades de tipos de recursos de destino, incluindo clusters Kubernetes e seus componentes. Essas regras formam definições de política, que os administradores podem aplicar por meio da atribuição de políticas a grupos de recursos, assinaturas ou grupos de gerenciamento.
Azure Policy para o Kubernetes
Com a Política do Azure para Kubernetes, as empresas podem impor regras de governança uniformes em todos os seus clusters Kubernetes habilitados para Azure Arc para detetar qualquer não conformidade com os padrões organizacionais.
A extensão de Política do Azure para Kubernetes habilitado para Arc executa as seguintes ações:
- Verifica periodicamente as atribuições de Política do Azure destinadas ao cluster do Kubernetes que hospeda os pods do controlador de admissão.
- Implanta definições de política no cluster como recursos personalizados que aplicam restrições, que os pods do controlador de admissão impõem.
- Relata dados de auditoria e conformidade para a Política do Azure, para que você possa revisar o status por meio do portal do Azure como para outros recursos habilitados para Azure ou Azure Arc.
Definições de política internas para Kubernetes habilitado para Arc
O Azure Policy oferece muitas definições internas para Kubernetes habilitados para Azure Arc, incluindo as seguintes definições de política comumente usadas:
| Nome da política | Descrição da política |
|---|---|
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Impede a criação de contêineres privilegiados em um cluster. |
| Os clusters Kubernetes devem ser acessíveis somente por HTTPS | Garante que o HTTPS seja usado para conexões de entrada. |
| Os serviços de cluster do Kubernetes só devem usar IPs externos permitidos | Garante que apenas os endereços IP externos permitidos sejam usados. |
| Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados | Impõe limites de recursos de CPU e memória do contêiner. |
| Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas | Restringe os serviços para ouvir apenas nas portas permitidas. |
| Os contêineres de cluster do Kubernetes só devem usar imagens permitidas | Restringe as imagens que podem ser usadas para implantar contêineres apenas a imagens de registros confiáveis. |
| Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos | Restringe as capacidades para reduzir a superfície de ataque dos contentores. |
| Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas | Restringe o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster. |
Estão disponíveis muitas outras definições de política incorporadas. Para exibir todas as definições de política, procure e selecione Política no portal do Azure, selecione Definições no menu à esquerda e selecione Kubernetes na lista suspensa Categoria.
Implementar a Política do Azure para Kubernetes
Para implementar a Política do Azure para Kubernetes em clusters conectados, você precisa instalar a extensão da Política do Azure. Para o Kubernetes habilitado para Azure Arc, o processo consiste nas seguintes etapas de alto nível.
- Entre no locatário do Microsoft Entra com uma conta que tenha permissões para gerenciar o recurso Kubernetes habilitado para Arc.
- Crie uma instância de extensão da Política do Azure no cluster.
- Crie uma atribuição de política usando uma das definições de política específicas do Kubernetes.
Depois que a atribuição de política é criada, a Política do Azure começa a verificar a conformidade.
Azure Monitor
O Azure Monitor estende a funcionalidade abrangente de gerenciamento baseado em nuvem além do Azure para datacenters locais e provedores de nuvem que não são da Microsoft. O Monitor coleta e monitora métricas, logs de atividade e diagnóstico e eventos dos serviços do Azure, recursos habilitados para Arc e datacenter local e recursos de nuvem de terceiros.
Os recursos da interface do Azure Monitor incluem:
- Painéis e pastas de trabalho.
- Análise de métricas com ferramentas como o Metrics Explorer ou o Power BI.
- Grupos de ação comuns que designam ações acionadas por alertas e destinatários de alertas.
Azure Monitor Container insights
As informações do Azure Monitor Container fornecem informações abrangentes sobre o estado do ambiente Kubernetes, ajudando a manter a estabilidade operacional e a continuidade dos negócios. As métricas são coletadas em controladores, nós e contêineres em ambientes Kubernetes, incluindo Kubernetes habilitados para Azure Arc.
O Container insights fornece os seguintes recursos:
- Identifique os contêineres em execução em cada nó de cluster e sua utilização média de processador e memória, para ajudar a detetar gargalos de recursos.
- Identifique os contêineres em execução em pods individuais para ajudá-lo a acompanhar o desempenho geral do pod.
- Avalie a utilização de recursos de cargas de trabalho em execução no host que não estão relacionadas aos processos padrão que suportam o pod.
- Compare o comportamento do cluster sob cargas médias e mais pesadas, para ajudar a avaliar as necessidades de capacidade e estimar a carga máxima que o cluster pode suportar.
- Configure alertas para notificá-lo proativamente quando a utilização de recursos exceder os limites aceitáveis ou quando um estado de integridade for alterado no cluster.
Monitorar clusters Kubernetes habilitados para Azure Arc
O Azure Monitor Container insights depende de uma versão em contêiner do Azure Monitor Agent for Linux. Esse agente é executado no cluster monitorado para coletar métricas de desempenho e logs de nós e contêineres do cluster. O agente interage diretamente com a API de métricas do Kubernetes e carrega os dados coletados no Azure.
O processo para implementar o Azure Monitor Container insights para implantações do Kubernetes habilitadas para Azure Arc consiste nas seguintes etapas de alto nível.
- Entre no locatário do Microsoft Entra com uma conta que tenha permissões para gerenciar o recurso Kubernetes habilitado para Arc.
- Identifique o ID do espaço de trabalho do Log Analytics que você deseja usar.
- Crie uma instância de extensão do Azure Monitor Container insights no cluster, usando a ID do espaço de trabalho do Log Analytics.