Общие сведения о политике Azure для кластеров Kubernetes

Политика Azure расширяет Gatekeeper v3, веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы обеспечить централизованное и согласованное применение масштабных ограничений и мер безопасности в кластерах. Политика Azure позволяет управлять состоянием соответствия кластеров Kubernetes и сообщать о нем из одного места. Эта надстройка выполняет следующие функции:

  • проверяет назначения политик в кластере с помощью службы Политики Azure;
  • развертывает определения политик в кластере как шаблоны ограничения и настраиваемые ресурсы ограничения.
  • Сообщает службе Политики Azure сведения об аудите и соответствии.

Политика Azure для Kubernetes поддерживает следующие кластерные среды:

Важно!

Надстройки для AKS Engine и поддержка Arc для Kubernetes доступны в предварительной версии. Политика Azure для Kubernetes поддерживает только пулы узлов Linux и встроенные определения политик. Встроенные определения политик находятся в категории Kubernetes. Определения политик ограниченного просмотра с помощью EnforceOPAConstraint и EnforceRegoPolicy, а также связанная категория Kubernetes Service являются устаревшими. Вместо них используйте эффекты аудит и запретить в режиме поставщика ресурсов Microsoft.Kubernetes.Data.

Обзор

Чтобы включить и использовать Политику Azure с кластером Kubernetes, выполните следующие действия.

  1. Настройте кластер Kubernetes и установите надстройку:

    Примечание

    Распространенные проблемы с установкой описаны в статье Устранение неполадок в надстройке политики Azure.

  2. Общие сведения о языке Политики Azure для Kubernetes

  3. Назначение встроенного определения кластеру Kubernetes

  4. Ожидание проверки

Ограничения

К надстройке политики Azure для кластеров Kubernetes применяются следующие общие ограничения:

  • Надстройка политики Azure для Kubernetes поддерживается в Kubernetes версии 1.14 или более поздней.
  • Надстройку политики Azure для Kubernetes можно развернуть только в пулах узлов Linux.
  • Поддерживаются только встроенные определения политик.
  • Максимальное число несоответствующих записей в каждой политике на один кластер: 500.
  • Максимальное число несоответствующих записей на подписку: 1 миллион.
  • Параметры Gatekeeper вне функционала надстройки политики Azure не поддерживаются. Перед включением надстройки политики Azure удалите все компоненты, установленные Gatekeeper в прошлый раз.
  • В Microsoft.Kubernetes.Data режиме поставщика ресурсов не предусмотрены причины несоответствия требованиям. Используйте Сведения о компоненте.
  • Исключения не поддерживаются для режимов поставщика ресурсов.

Следующие ограничения применяются только к надстройке политики Azure для AKS:

Рекомендации

Ниже приведены общие рекомендации по использованию надстройки политики Azure.

  • Для работы надстройки политики Azure необходимы три компонента Gatekeeper: 1 pod-модуль аудита и две реплики pod-модуля веб-перехватчика. Эти компоненты потребляют больше ресурсов, так как количество ресурсов Kubernetes и задач политик в кластере увеличивается, что в свою очередь требует выполнения операций аудита и принудительного применения.

    • До 500 pod-модулей в одном кластере с максимальным числом ограничений 20: 2 виртуальных ЦП и 350 МБ памяти на компонент.
    • Свыше 500 pod-модулей в одном кластере с максимальным числом ограничений 40: 3 виртуальных ЦП и 600 МБ памяти на компонент.
  • Pod-модули Windows не поддерживают контексты безопасности. Таким образом, некоторые определения политик Azure, такие как запрет привилегий суперпользователя, не применимы для pod-объектов Windows, а применимы только в Linux.

Следующие рекомендации применимы только к AKS и надстройке политики Azure.

  • Используйте пул системных узлов с отметкой CriticalAddonsOnly для планирования pod-модулей Gatekeeper. Дополнительные сведения см. в разделе Использование пулов системных узлов.
  • Защита исходящего трафика кластера AKS Дополнительные сведения см. в разделе Управление исходящим трафиком для узлов кластера.
  • При включенном в кластере aad-pod-identity pod-модули Node Managed Identity (NMI) изменяют iptables узлов для перехвата вызовов к конечной точке метаданных экземпляра Azure. Такая конфигурация обеспечивает перехват модулем NMI любого запроса к конечной точке метаданных, даже если модуль pod не использует aad-pod-identity. В AzurePodIdentityException CRD можно настроить уведомление aad-pod-identity о том, что любые запросы к конечной точке метаданных от модуля pod, соответствующего определенным в CRD меткам, следует передавать прокси-серверу без обработки в NMI. Системные модули с меткой kubernetes.azure.com/managedby: aks в пространстве имен kube-system должны быть исключены в aad-pod-identity с помощью настройки AzurePodIdentityException CRD. Дополнительные сведения см. в разделе Отключение aad-pod-identity для конкретного pod-модуля или приложения. Чтобы настроить исключение, установите mic-exception YAML.

Установка надстройки Политики Azure для AKS

Прежде чем устанавливать надстройку политики Azure или включать какие-либо функции службы, убедитесь, что ваша подписка включает поставщиков ресурсов Microsoft.PolicyInsights.

  1. Необходимо установить и настроить Azure CLI версии 2.12.0 или более поздней. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI.

  2. Зарегистрируйте поставщики ресурсов и предварительные версии функций.

    • Портал Azure:

      Зарегистрируйте поставщиков ресурсов Microsoft.PolicyInsights. Действия см. в Поставщики и типы ресурсов.

    • Azure CLI:

      # Log in first with az login if you're not using Cloud Shell
      
      # Provider register: Register the Azure Policy provider
      az provider register --namespace Microsoft.PolicyInsights
      
  3. Если установлены определения политики ограниченной предварительной версии, удалите надстройку с помощью кнопки Отключить в кластере AKS на странице Политики.

  4. Кластер AKS должен быть версии 1.14 или более новой. Используйте следующий скрипт для проверки версии кластера AKS:

    # Log in first with az login if you're not using Cloud Shell
    
    # Look for the value in kubernetesVersion
    az aks list
    
  5. Установите Azure CLI версии 2.12.0 или выше. Дополнительные сведения см. в статье Установка Azure CLI.

После выполнения указанных выше предварительных требований установите надстройку "Политика Azure" в кластере AKS, которым хотите управлять.

  • Портал Azure

    1. Запустите службу Azure Kubernetes на портале Azure, выбрав Все службы, а затем выполнив поиск и выбрав Службы Kubernetes.

    2. Выберите один из кластеров AKS.

    3. Выберите Политики в левой части страницы службы Kubernetes.

    4. На главной странице нажмите кнопку Включить надстройку.

      Примечание

      Если активна кнопка Отключить надстройку и отображается предупреждение о миграции на v2, надстройка v1 все еще установлена перед переопределением политики на v2. Устаревшая надстройка v1 будет автоматически заменена надстройкой v2 начиная с 24 августа. 2020. После этого необходимо назначить новые версии политик v2. Для обновления выполните следующие шаги.

      1. Проверьте, что в кластере AKS установлена надстройка v1, посетив страницу Политики в кластере AKS, где должно отображаться сообщение "Текущий кластер использует надстройку политики Azure v1...".
      2. Удалите надстройку.
      3. Нажмите кнопку Включить надстройку, чтобы установить версию v2.
      4. Назначение версий v2 для встроенных определений политик v1
  • Azure CLI

    # Log in first with az login if you're not using Cloud Shell
    
    az aks enable-addons --addons azure-policy --name MyAKSCluster --resource-group MyResourceGroup
    

Чтобы убедиться, что установка надстройки прошла успешно и что объекты pod azure-policy и gatekeeper запущены, выполните следующую команду:

# azure-policy pod is installed in kube-system namespace
kubectl get pods -n kube-system

# gatekeeper pod is installed in gatekeeper-system namespace
kubectl get pods -n gatekeeper-system

Наконец, убедитесь, что последняя надстройка установлена, выполнив следующую команду Azure CLI, с заменой <rg> на имя группы ресурсов и <cluster-name> на имя кластера AKS: az aks show --query addonProfiles.azurepolicy -g <rg> -n <cluster-name>. Результат должен выглядеть примерно так, как и следующие выходные данные, и config.version должен иметь вид v2:

"addonProfiles": {
    "azurepolicy": {
        "config": {
            "version": "v2"
        },
        "enabled": true,
        "identity": null
    },
}

Установка надстройки политики Azure для Kubernetes с поддержкой Azure Arc (предварительная версия)

Прежде чем устанавливать надстройку Политики Azure или включать какие-либо функции службы, ваша подписка должна активировать поставщик ресурсов Microsoft.PolicyInsights и создать назначение роли для субъекта-службы кластера.

  1. Необходимо установить и настроить Azure CLI версии 2.12.0 или более поздней. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI.

  2. Чтобы включить поставщик ресурсов, выполните действия, описанные в статье Поставщики и типы ресурсов, или выполните команду Azure CLI или Azure PowerShell:

    • Azure CLI

      # Log in first with az login if you're not using Cloud Shell
      
      # Provider register: Register the Azure Policy provider
      az provider register --namespace 'Microsoft.PolicyInsights'
      
    • Azure PowerShell

      # Log in first with Connect-AzAccount if you're not using Cloud Shell
      
      # Provider register: Register the Azure Policy provider
      Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
      
  3. Кластер Kubernetes должен быть версии 1.14 или более новой.

  4. Установите Helm 3.

  5. Кластер Kubernetes поддерживает Azure Arc. Дополнительные сведения см. в подключение кластера Kubernetes к Azure Arc.

  6. Получите полный идентификатор ресурса Azure для кластера Kubernetes с поддержкой Azure Arc.

  7. Откройте порты для надстройки. Надстройка политики Azure использует эти домены и порты для выборки определений и назначений политик, а также для создания отчетов о соответствии кластера, возвращаемых Политике Azure.

    Домен Порт
    gov-prod-policy-data.trafficmanager.net 443
    raw.githubusercontent.com 443
    login.windows.net 443
    dc.services.visualstudio.com 443
  8. Назначьте роль "Редактор данных анализа политик (предварительная версия)" для кластера Kubernetes с поддержкой Azure Arc. Замените <subscriptionId> своим идентификатором подписки, <rg> группой ресурсов кластера Kubernetes с поддержкой Azure Arc и <clusterName> именем кластера Kubernetes с поддержкой Azure Arc. Следите за возвращаемыми значениями appId (идентификатора приложения), password (пароля) и tenant (клиента) для шагов установки.

    • Azure CLI

      az ad sp create-for-rbac --role "Policy Insights Data Writer (Preview)" --scopes "/subscriptions/<subscriptionId>/resourceGroups/<rg>/providers/Microsoft.Kubernetes/connectedClusters/<clusterName>"
      
    • Azure PowerShell

      $sp = New-AzADServicePrincipal -Role "Policy Insights Data Writer (Preview)" -Scope "/subscriptions/<subscriptionId>/resourceGroups/<rg>/providers/Microsoft.Kubernetes/connectedClusters/<clusterName>"
      
      @{ appId=$sp.ApplicationId;password=[System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret));tenant=(Get-AzContext).Tenant.Id } | ConvertTo-Json
      

    Пример результата выполнения вышеприведенных команд:

    {
        "appId": "aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa",
        "password": "bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb",
        "tenant": "cccccccc-cccc-cccc-cccc-cccccccccccc"
    }
    

После выполнения указанных выше предварительных требований установите надстройку Политика Azure в кластере Kubernetes с поддержкой Azure Arc, которым хотите управлять.

  1. Добавьте репозиторий надстройки Политики Azure в Helm.

    helm repo add azure-policy https://raw.githubusercontent.com/Azure/azure-policy/master/extensions/policy-addon-kubernetes/helm-charts
    
  2. Установите надстройку Политики Azure с помощью диаграммы Helm:

    # In below command, replace the following values with those gathered above.
    #    <AzureArcClusterResourceId> with your Azure Arc enabled Kubernetes cluster resource Id. For example: /subscriptions/<subscriptionId>/resourceGroups/<rg>/providers/Microsoft.Kubernetes/connectedClusters/<clusterName>
    #    <ServicePrincipalAppId> with app Id of the service principal created during prerequisites.
    #    <ServicePrincipalPassword> with password of the service principal created during prerequisites.
    #    <ServicePrincipalTenantId> with tenant of the service principal created during prerequisites.
    helm install azure-policy-addon azure-policy/azure-policy-addon-arc-clusters \
        --set azurepolicy.env.resourceid=<AzureArcClusterResourceId> \
        --set azurepolicy.env.clientid=<ServicePrincipalAppId> \
        --set azurepolicy.env.clientsecret=<ServicePrincipalPassword> \
        --set azurepolicy.env.tenantid=<ServicePrincipalTenantId>
    

    Дополнительные сведения о том, какие компоненты и функции устанавливает диаграмма Helm, см. в статье о диаграмме Helm для надстройки Политики Azure на сайте GitHub.

Чтобы убедиться, что установка надстройки прошла успешно и что объекты pod azure-policy и gatekeeper запущены, выполните следующую команду:

# azure-policy pod is installed in kube-system namespace
kubectl get pods -n kube-system

# gatekeeper pod is installed in gatekeeper-system namespace
kubectl get pods -n gatekeeper-system

Установка надстройки Политики Azure для Обработчика AKS (предварительная версия)

Прежде чем устанавливать надстройку Политики Azure или включать какие-либо функции службы, ваша подписка должна активировать поставщик ресурсов Microsoft.PolicyInsights и создать назначение роли для субъекта-службы кластера.

  1. Необходимо установить и настроить Azure CLI версии 2.0.62 или более поздней. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI.

  2. Чтобы включить поставщик ресурсов, выполните действия, описанные в статье Поставщики и типы ресурсов, или выполните команду Azure CLI или Azure PowerShell:

    • Azure CLI

      # Log in first with az login if you're not using Cloud Shell
      
      # Provider register: Register the Azure Policy provider
      az provider register --namespace 'Microsoft.PolicyInsights'
      
    • Azure PowerShell

      # Log in first with Connect-AzAccount if you're not using Cloud Shell
      
      # Provider register: Register the Azure Policy provider
      Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
      
  3. Создайте назначение роли для субъекта-службы кластера.

    • Если идентификатор приложения субъекта-службы кластера неизвестен, найдите его с помощью следующей команды.

      # Get the kube-apiserver pod name
      kubectl get pods -n kube-system
      
      # Find the aadClientID value
      kubectl exec <kube-apiserver pod name> -n kube-system cat /etc/kubernetes/azure.json
      
    • Назначьте идентификатору приложения субъекта-службы кластера (значение aadClientID из предыдущего шага) роль "Редактор данных анализа политик (предварительная версия)" с помощью Azure CLI. Замените <subscriptionId> идентификатором подписки, а <aks engine cluster resource group> — группой ресурсов, в которой находится самоуправляемый кластер Kubernetes Обработчика AKS.

      az role assignment create --assignee <cluster service principal app ID> --scope "/subscriptions/<subscriptionId>/resourceGroups/<aks engine cluster resource group>" --role "Policy Insights Data Writer (Preview)"
      

После выполнения указанных выше предварительных требований установите надстройку Политики Azure. Установка может осуществляться во время цикла создания или обновления Обработчика AKS или выполняться как независимое действие в существующем кластере.

  • Установка во время цикла создания или обновления

    Чтобы включить надстройку Политики Azure во время создания самоуправляемого кластера или в качестве обновления существующего кластера, добавьте определение кластера свойств addons для Обработчика AKS.

    "addons": [{
        "name": "azure-policy",
        "enabled": true
    }]
    

    Дополнительные сведения см. в руководстве по определению кластера Обработчика AKS.

  • Установка в существующем кластере с помощью диаграмм Helm

    Чтобы подготовить кластер и установить надстройку, выполните следующие действия.

    1. Установите Helm 3.

    2. Добавьте репозиторий Политики Azure в Helm.

      helm repo add azure-policy https://raw.githubusercontent.com/Azure/azure-policy/master/extensions/policy-addon-kubernetes/helm-charts
      

      Дополнительные сведения см. в кратком руководстве по диаграммам Helm.

    3. Установите надстройку с помощью диаграммы Helm. Замените <subscriptionId> идентификатором подписки, а <aks engine cluster resource group> — группой ресурсов, в которой находится самоуправляемый кластер Kubernetes Обработчика AKS.

      helm install azure-policy-addon azure-policy/azure-policy-addon-aks-engine --set azurepolicy.env.resourceid="/subscriptions/<subscriptionId>/resourceGroups/<aks engine cluster resource group>"
      

      Дополнительные сведения о том, какие компоненты и функции устанавливает диаграмма Helm, см. в статье о диаграмме Helm для надстройки Политики Azure на сайте GitHub.

      Примечание

      Из-за существующей связи между надстройкой Политики Azure и идентификатором группы ресурсов Политика Azure поддерживает только один кластер Обработчика AKS для каждой группы ресурсов.

Чтобы убедиться, что установка надстройки прошла успешно и что объекты pod azure-policy и gatekeeper запущены, выполните следующую команду:

# azure-policy pod is installed in kube-system namespace
kubectl get pods -n kube-system

# gatekeeper pod is installed in gatekeeper-system namespace
kubectl get pods -n gatekeeper-system

Язык политики

Языковая структура Политики Azure для управления Kubernetes соответствует языковой структуре существующих определений политик. В режиме поставщика ресурсов Microsoft.Kubernetes.Data для управления кластерами Kubernetes используются эффекты аудит и запретить. Эффекты аудит и запретить должны предоставлять свойства сведений, относящиеся к работе с OPA Constraint Framework и Gatekeeper v3.

Политика Azure передает URI этих CustomResourceDefinitions (CRD) надстройке в составе свойств details.constraintTemplate и details.constraint в определении политики. Rego — это язык, поддерживаемый OPA и Gatekeeper для проверки запросов к кластеру Kubernetes. Поддерживая существующий стандарт управления Kubernetes, Политика Azure позволяет повторно использовать существующие правила и объединять их с Политикой Azure для формирования унифицированной отчетности о совместимости с облачными технологиями. Дополнительные сведения о Rego см. в этой статье.

Назначение встроенного определения политики

Чтобы назначить определение политики кластеру Kubernetes, необходимо назначить соответствующие операции назначения политики управления доступом Azure на основе ролей (Azure RBAC). Встроенные роли Azure Участник политики ресурсов и Владелец включают эти операции. Дополнительные сведения см. в Разрешения Azure RBAC в политике Azure.

Чтобы найти встроенные политики для управления кластером с помощью портала Azure, выполните следующие действия.

  1. Запустите службу Политики Azure на портале Azure. На панели слева выберите Все службы, а затем выполните поиск по запросу Политика и выберите этот пункт.

  2. Выберите Определения на левой панели страницы "Политика Azure".

  3. В раскрывающемся списке "Категория" щелкните Выбрать все, чтобы очистить фильтр, а затем выберите Kubernetes.

  4. Выберите определение политики, а затем нажмите кнопку Назначить.

  5. Задайте в качестве Области группу управления, подписку или группу ресурсов кластера Kubernetes, к которым будет применяться назначение политики.

    Примечание

    При назначении политики Azure для определения Kubernetes Область должна включать ресурс кластера. Для кластера Обработчика AKS Область должна быть группой ресурсов кластера.

  6. Присвойте назначению политики Имя и Описание, по которым его можно будет легко отличить.

  7. Задайте одно из следующих значений в поле Принудительное применение политики.

    • Включено — принудительно применить политику в кластере. Запросы на допуск Kubernetes с нарушениями отклоняются.

    • Отключено — не выполнять принудительного применения политики в кластере. Запросы на допуск Kubernetes с нарушениями не отклоняются. Результаты оценки соответствия по-прежнему доступны. При развертывании новых определений политик в работающих кластерах параметр Отключено может оказаться полезным для тестирования определений политик, так как запросы на допуск с нарушениями не будут отклоняться.

  8. Выберите Далее.

  9. Установка значений параметра

    • Чтобы исключить пространства имен Kubernetes из оценки политики, укажите список пространств имен в параметре Исключения пространства имен. Рекомендуется исключить следующие пространства имен: kube-system, gatekeeper-system и azure-arc.
  10. Выберите Review + create (Просмотреть и создать).

Или воспользуйтесь кратким руководством Назначение политики с помощью портала для поиска и назначения политики Kubernetes. Выполните поиск определения политики Kubernetes вместо примера audit vms.

Важно!

Встроенные определения политик доступны для кластеров Kubernetes в категории Kubernetes. Список встроенных определений политик см. в Образцы Kubernetes.

Оценка политики

Надстройка сверяет назначения политик со службой Политики Azure на наличие изменений каждые 15 минут. Во время этого цикла обновления надстройка проверяет наличие изменений. Эти изменения активируют операции создания, обновления или удаления шаблонов ограничений и ограничений.

В кластере Kubernetes, если пространство имен имеет одну из следующих меток, запросы на допуск с нарушениями не отклоняются. Результаты оценки соответствия по-прежнему доступны.

  • control-plane
  • admission.policy.azure.com/ignore

Примечание

Хотя администратор кластера может иметь разрешение на создание и обновление шаблонов ограничений и ресурсов ограничений, устанавливаемых надстройкой Политики Azure, эти сценарии не поддерживаются, так как выполненные вручную обновления перезаписываются. Gatekeeper продолжит оценивать политики, существовавшие до установки надстройки и назначения определений политик Политики Azure.

Каждые 15 минут надстройка вызывает полную проверку кластера. После сбора сведений, полученных в ходе полной проверки, и выполненных в режиме реального времени оценок Gatekeeper попыток внести изменения в кластер надстройка отправляет результаты в Политику Azure для включения их в сведения о соответствии подобно любому назначению Политики Azure. Во время цикла аудита возвращаются только результаты активных назначений политик. Результаты аудита также могут отображаться как нарушения, указанные в поле состояния ограничения, завершившегося сбоем. Дополнительные сведения о ресурсах, не соответствующих требованиям, см. в разделе Сведения о компоненте для режимов поставщиков ресурсов.

Примечание

Каждый отчет о соответствии в Политике Azure для кластеров Kubernetes включает все нарушения за последние 45 минут. Метка времени указывает, когда произошло нарушение.

Другие замечания:

  • Если подписка кластера зарегистрирована в центре безопасности Azure, политики Kubernetes центра безопасности Azure применяются к кластеру автоматически.

  • Когда политика запрета применяется к кластеру с существующими ресурсами Kubernetes, все существующие ресурсы, не соответствующие новой политике, продолжат работать. Когда несоответствующий ресурс перераспределяется на другой узел, Gatekeeper блокирует создание ресурсов.

  • Если в кластере есть политика запрета, которая проверяет ресурсы, при создании развертывания пользователь не увидит сообщение об отказе. Например, рассмотрим развертывание Kubernetes, которое содержит наборы реплик и pod-модули. При запуске kubectl describe deployment $MY_DEPLOYMENT пользователем сообщение об отклонении не возвращается среди других событий. Однако kubectl describe replicasets.apps $MY_DEPLOYMENT возвращает события, связанные с отклонением.

Ведение журнала

Pod-модули azure-policy и gatekeeper, являющиеся контроллерами/контейнерами Kubernetes, хранят журналы в кластере Kubernetes. Журналы можно предоставить на странице Insights (Аналитические сведения) кластера Kubernetes. Дополнительные сведения см. в статье Мониторинг производительности кластера Kubernetes с помощью Azure Monitor для контейнеров.

Чтобы просмотреть журналы надстроек, используйте kubectl:

# Get the azure-policy pod name installed in kube-system namespace
kubectl logs <azure-policy pod name> -n kube-system

# Get the gatekeeper pod name installed in gatekeeper-system namespace
kubectl logs <gatekeeper pod name> -n gatekeeper-system

Дополнительные сведения см. в статье об отладке Gatekeeper в документации по Gatekeeper.

Устранение неполадок надстройки

Дополнительные сведения об устранении неполадок надстройки для Kubernetes см. в разделе Kubernetes статьи об устранении неполадок политики Azure.

Удаление надстройки

Удаление надстройки из AKS

Чтобы удалить надстройку "Политика Azure" из кластера AKS, используйте либо портал Azure, либо Azure CLI.

  • Портал Azure

    1. Запустите службу Azure Kubernetes на портале Azure, выбрав Все службы, а затем выполнив поиск и выбрав Службы Kubernetes.

    2. Выберите кластер AKS, в котором необходимо отключить надстройку Политики Azure.

    3. Выберите Политики в левой части страницы службы Kubernetes.

    4. На главной странице нажмите кнопку Отключить надстройку.

  • Azure CLI

    # Log in first with az login if you're not using Cloud Shell
    
    az aks disable-addons --addons azure-policy --name MyAKSCluster --resource-group MyResourceGroup
    

Удаление надстройки из Kubernetes с поддержкой Azure Arc

Чтобы удалить надстройку Политики Azure и Gatekeeper из кластера Kubernetes с поддержкой Azure Arc, выполните следующую команду Helm:

helm uninstall azure-policy-addon

Удаление надстройки из Обработчика AKS

Чтобы удалить надстройку Политики Azure и Gatekeeper из кластера Обработчика AKS, используйте метод, соответствующий способу установки надстройки.

  • Если установка выполнена путем задания свойства addons в определении кластера для Обработчика AKS:

    повторно разверните определение кластера в Обработчике AKS после изменения значения свойства addons для azure-policy на false:

    "addons": [{
        "name": "azure-policy",
        "enabled": false
    }]
    

    Дополнительные сведения см. в Обработчик AKS. Отключение надстройки Политики Azure.

  • При установке с диаграммами Helm выполните следующую команду Helm:

    helm uninstall azure-policy-addon
    

Диагностические данные, собираемые надстройкой Политики Azure

Надстройка Политики Azure для Kubernetes собирает ограниченные диагностические данные кластера. Они являются важнейшими техническими данными, относящимися к программному обеспечению и производительности. Их можно использовать следующими способами:

  • поддержка надстройки Политики Azure в актуальном состоянии;
  • обеспечение безопасности, надежности и эффективности надстройки Политики Azure;
  • совершенствование надстройки Политики Azure с помощью статистического анализа использования надстройки.

Сведения, собираемые надстройкой, не являются персональными данными. В настоящее время ведется сбор следующих сведений:

  • Версия агента надстройки Политики Azure
  • Тип кластера
  • Регион кластера
  • Группа ресурсов кластера
  • ИД ресурса кластера
  • ИД подписки кластера
  • ОС кластера (например: Linux)
  • Город кластера (например: Сиэтл)
  • Штат или провинция кластера (например: Вашингтон)
  • Страна или регион кластера (например: США)
  • Исключения и ошибки, обнаруженные надстройкой Политики Azure во время установки агента при оценке политики
  • Число определений политик Gatekeeper, не установленных надстройкой Политики Azure

Дальнейшие действия