Управление Kubernetes с поддержкой Azure Arc с помощью Политика Azure и Azure Monitor
Azure Arc централизованно и упрощает управление путем включения ряда служб Azure, таких как Политика Azure и Azure Monitor.
В этом уроке вы узнаете об использовании этих служб для управления кластерами Kubernetes с поддержкой Azure Arc и мониторинга.
Политика Azure
Политика Azure использует декларативные правила на основе свойств целевых типов ресурсов Azure, включая кластеры Kubernetes и их компоненты. Эти правила формируют определения политики, которые администраторы могут применять через назначение политики к группам ресурсов, подпискам или группам управления.
Политика Azure для Kubernetes
С помощью Политика Azure для Kubernetes компании могут применять единые правила управления во всех кластерах Kubernetes с поддержкой Azure Arc для обнаружения любых несоответствий с стандартами организации.
Расширение Политика Azure для Kubernetes с поддержкой Arc выполняет следующие действия:
- Периодически проверяет наличие назначений Политика Azure, предназначенных для кластера Kubernetes, в котором размещаются модули pod контроллера допуска.
- Развертывает определения политики в кластере в качестве настраиваемых ресурсов, которые применяют ограничения, которые применяют модули pod контроллера допуска.
- Сообщает данные аудита и соответствия требованиям для Политика Azure, чтобы просмотреть состояние с помощью портал Azure как для других ресурсов с поддержкой Azure или Azure Arc.
Встроенные определения политик для Kubernetes с поддержкой Arc
Политика Azure предлагает множество встроенных определений для Kubernetes с поддержкой Azure Arc, включая следующие часто используемые определения политик:
| Имя политики | Описание политики |
|---|---|
| Кластер Kubernetes не должен разрешать привилегированные контейнеры | Предотвращает создание привилегированных контейнеров в кластере. |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Обеспечивает использование протокола HTTPS для входящих подключений. |
| Службы кластеров Kubernetes должны использовать только разрешенные внешние IP-адреса | Обеспечивает использование только разрешенных внешних IP-адресов. |
| Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Применяет заданные ограничения для ресурсов ЦП и памяти контейнеров. |
| Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничивает прослушивание для служб разрешенными портами. |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Ограничивает образы, которые можно использовать для развертывания контейнеров только для образов из доверенных реестров. |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничивает возможности, чтобы снизить уязвимость контейнеров по направлениям атак. |
| Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | Ограничивает доступ объектов pod к сети узла и допустимый диапазон портов узла в кластере. |
Доступны множество встроенных определений политик. Чтобы просмотреть все определения политик, найдите и выберите политику в портал Azure, выберите "Определения" в меню слева и выберите Kubernetes в раскрывающемся списке "Категория".
Реализация Политика Azure для Kubernetes
Чтобы реализовать Политика Azure для Kubernetes в подключенных кластерах, необходимо установить расширение Политика Azure. Для Kubernetes с поддержкой Azure Arc процесс состоит из следующих высокоуровневых шагов.
- Войдите в клиент Microsoft Entra с учетной записью с разрешениями на управление ресурсом Kubernetes с поддержкой Arc.
- Создайте экземпляр расширения Политика Azure в кластере.
- Создайте назначение политики с помощью одного из определений политик, относящихся к Kubernetes.
После создания назначения политики Политика Azure начинает проверка соответствия требованиям.
Azure Monitor
Azure Monitor расширяет комплексные облачные функции управления за пределами Azure для локальных центров обработки данных и поставщиков облачных служб, отличных от Майкрософт. Мониторинг собирает и отслеживает метрики, действия и диагностика журналы и события из служб Azure, ресурсов с поддержкой Arc и локальных центров обработки данных и сторонних облачных ресурсов.
К функциям интерфейса Azure Monitor относятся:
- Панели мониторинга и книги.
- Анализ метрик с помощью таких средств, как метрики Обозреватель или Power BI.
- Распространенные группы действий, которые назначают действия, активированные оповещением, и получатели оповещений.
Аналитика контейнеров Azure Monitor
Аналитика контейнеров Azure Monitor предоставляет исчерпывающую информацию о состоянии среды Kubernetes, помогая поддерживать стабильность работы и непрерывность бизнес-процессов. Метрики собираются на контроллерах, узлах и контейнерах в средах Kubernetes, включая Kubernetes с поддержкой Azure Arc.
Аналитика контейнеров предоставляет следующие возможности:
- Определите контейнеры, работающие на каждом узле кластера, и их среднее использование процессора и памяти, чтобы помочь обнаружить узкие места ресурсов.
- Определите контейнеры, выполняемые в отдельных модулях pod, чтобы отслеживать общую производительность pod.
- Оцените использование ресурсов рабочих нагрузок, выполняемых на узле, которые не связаны со стандартными процессами, поддерживающими модуль pod.
- Сравните поведение кластера при средней и тяжелой нагрузке, чтобы помочь оценить потребности емкости и оценить максимальную нагрузку, которую может поддерживать кластер.
- Настройте оповещения для упреждающего уведомления об использовании ресурсов, превышающих допустимые пороговые значения или при изменении состояния работоспособности в кластере.
Мониторинг кластеров Kubernetes с включенной Azure Arc
Аналитика контейнеров Azure Monitor использует контейнерную версию агента Azure Monitor для Linux. Этот агент выполняется в отслеживаемом кластере для сбора метрик производительности и журналов из узлов кластера и контейнеров. Этот агент взаимодействует напрямую с API метрик Kubernetes и передает собранные данные в Azure.
Процесс реализации аналитики контейнеров Azure Monitor для развертываний Kubernetes с поддержкой Azure Arc состоит из следующих высокоуровневых шагов.
- Войдите в клиент Microsoft Entra с учетной записью с разрешениями на управление ресурсом Kubernetes с поддержкой Arc.
- Определите идентификатор рабочей области рабочей области Log Analytics, которую вы хотите использовать.
- Создайте экземпляр расширения Аналитики контейнеров Azure Monitor в кластере с помощью идентификатора рабочей области Log Analytics.