Tillämpa konfigurationer i stor skala med Azure Policy
Du kan använda Azure Policy tillämpa konfigurationer ( resurstyp) i stor skala Microsoft.KubernetesConfiguration/sourceControlConfigurations Azure Arc kubernetes-kluster ( Microsoft.Kubernetes/connectedclusters ).
Om du Azure Policy väljer du en inbyggd GitOps-principdefinition och skapar en principtilldelning. När du skapar principtilldelningen:
- Ange omfånget för tilldelningen.
- Omfånget är alla resursgrupper i en prenumeration eller hanteringsgrupp eller specifika resursgrupper.
- Ange parametrarna för den GitOps-konfiguration som ska skapas.
När tilldelningen har skapats identifierar Azure Policy-motorn alla Azure Arc-aktiverade Kubernetes-kluster som finns i omfånget och tillämpar GitOps-konfigurationen på varje kluster.
Om du vill aktivera separation av problem kan du skapa flera principtilldelningar, var och en med en annan GitOps-konfiguration som pekar på en annan Git-lagringsplatsen. En lagringsplatsen kan till exempel användas av klusteradministratörer och andra lagringsplatsen kan användas av programteam.
Tips
Det finns inbyggda principdefinitioner för dessa scenarier:
- Offentlig lagringsplatsen eller den privata lagringsplatsen med SSH-nycklar som skapats av Flux:
Configure Kubernetes clusters with specified GitOps configuration using no secrets - Privat lagringsplatsen med SSH-nycklar som tillhandahålls av användaren:
Configure Kubernetes clusters with specified GitOps configuration using SSH secrets - Privat lagringsplatsen med HTTPS-nycklar som tillhandahålls av användaren:
Configure Kubernetes clusters with specified GitOps configuration using HTTPS secrets
Förutsättning
Kontrollera att du Microsoft.Authorization/policyAssignments/write har behörighet för omfånget (prenumeration eller resursgrupp) där du ska skapa den här principtilldelningen.
Skapa en principtilldelning
- I Azure Portal du till Princip.
- I avsnittet Redigering i sidofältet väljer du Definitioner.
- I kategorin "Kubernetes" väljer du den inbyggda principdefinitionen "Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration utan hemligheter".
- Klicka på Tilldela.
- Ange Omfång till den hanteringsgrupp, prenumeration eller resursgrupp som principtilldelningen ska gälla för.
- Om du vill undanta resurser från principtilldelningsomfånget anger du Undantag.
- Ge principtilldelningen ett enkelt identifierbart Namn och Beskrivning.
- Se till att Principtvingande är inställt på Aktiverad.
- Välj Nästa.
- Ange de parametervärden som ska användas när du skapar
sourceControlConfiguration.- Mer information om parametrar finns i självstudien om att distribuera GitOps-konfigurationer.
- Välj Nästa.
- Aktivera Skapa en reparationsuppgift.
- Kontrollera att Skapa en hanterad identitet är markerat och att identiteten har deltagarbehörighet.
- Mer information finns i snabbstarten Skapa en principtilldelning och artikeln Åtgärda icke-kompatibla resurser Azure Policy .
- Välj Granska + skapa.
När du har skapat principtilldelningen tillämpas konfigurationen på nya Azure Arc Kubernetes-kluster som skapats inom principtilldelningens omfång.
För befintliga kluster kan du behöva köra en reparationsuppgift manuellt. Den här uppgiften tar vanligtvis 10 till 20 minuter innan principtilldelningen börjar gälla.
Verifiera en principtilldelning
- I Azure Portal navigerar du till ett av dina Azure Arc Kubernetes-kluster.
- I Inställningar i sidopanelen väljer du Principer.
- I listan bör du se principtilldelningen som du skapade tidigare med kompatibilitetstillståndet inställt på Kompatibel.
- I Inställningar i sidofältet väljer du GitOps.
- I listan med konfigurationer bör du se konfigurationen som skapats av principtilldelningen.
- Använd
kubectlför att fråga klustret.- Du bör se namnområdet och artefakterna som skapades av GitOps-konfigurationen.
- Du bör se de objekt som beskrivs av manifesten i Git-lagringsplatsen som distribueras i klustret.
Nästa steg
Konfigurera Azure Monitor för containrar med Azure Arc Kubernetes-kluster.