Zásady správného řízení clusteru Kubernetes

Zásady správného řízení odkazují na schopnost organizace vynucovat a ověřovat pravidla, která zaručují dodržování podnikových standardů. Zásady správného řízení pomáhají organizacím zmírnit rizika, dodržovat firemní standardy a externí předpisy a minimalizovat přerušení přechodu nebo inovací.

Zásady správného řízení zahrnují iniciativy plánování, nastavení strategických priorit a používání mechanismů a procesů pro řízení aplikací a prostředků. Pro clustery Kubernetes v cloudovém prostředí znamená zásady správného řízení implementaci zásad napříč clustery Kubernetes a aplikacemi, které běží v těchto clusterech.

Zásady správného řízení Kubernetes zahrnují cloudové prostředí i infrastrukturu nasazení clusteru i samotné clustery a jejich aplikace. Tato příručka se zaměřuje na zásady správného řízení v rámci clusterů Kubernetes. Tento článek popisuje a porovnává, jak Amazon Elastic Kubernetes Service (Amazon EKS) a Azure Kubernetes Service (AKS) spravují zásady správného řízení clusteru Kubernetes.

Poznámka:

Tento článek je součástí série článků, které pomáhají odborníkům, kteří jsou obeznámeni s Amazon EKS, porozumět službě Azure Kubernetes Service (AKS).

Dimenze zásad správného řízení Kubernetes

Tři dimenze definují konzistentní strategii zásad správného řízení Kubernetes:

• Cíle popisují cíle zásad zabezpečení a dodržování předpisů, které by strategie zásad správného řízení měla splnit. Cíle například určují, kteří uživatelé mají přístup ke clusteru Kubernetes, oboru názvů nebo aplikaci nebo ke kterým registrům kontejnerů a imagím, které se mají použít ve kterých clusterech. Provozní tým zabezpečení obvykle tyto cíle nastavuje jako první krok při definování strategie zásad správného řízení společnosti.

• Rozsahy podrobně uvádějí prvky, na které se vztahují cílové zásady. Obory musí řešit všechny komponenty viditelné v Kubernetes. Obory můžou být organizační jednotky, jako jsou oddělení, týmy a skupiny, nebo prostředí, jako jsou cloudy, oblasti nebo obory názvů, nebo obojí.

• Direktivy zásad používají funkce Kubernetes k vynucení cílových pravidel napříč zadanými obory pro vynucení zásad správného řízení.

Další informace najdete v tématu Zásady správného řízení Kubernetes, co byste měli vědět.

Zásady správného řízení v EKS a AKS

• Zákazníci Amazon Web Services (AWS) obvykle používají Kyverno, Gatekeepernebo jiná řešení třetích stran k definování a implementaci strategie zásad správného řízení pro své clustery Amazon EKS. Úložiště aws-eks-best-practices/policies na GitHubu obsahuje kolekci ukázkových zásad pro Kyverno a Gatekeeper.
• Zákazníci Azure můžou také používat Kyverno nebo Gatekeeper a můžou použít doplněk Azure Policy for Kubernetes k rozšíření Gatekeeperu pro strategii zásad správného řízení AKS.

Gatekeeper

Cloud Native Computing Foundation (CNCF) sponzoruje opensourcový kontroler zásad Gatekeeper pro Kubernetes pro vynucování zásad v clusterech Kubernetes. Gatekeeper je kontroler přístupu Kubernetes, který vynucuje zásady vytvořené pomocí open policy agenta (OPA) – modulu zásad pro obecné účely.

OPA používá deklarativní jazyk vysoké úrovně s názvem Rego k vytvoření zásad, které můžou spouštět pody z tenantů na samostatných instancích nebo v různých prioritách. Kolekci běžných zásad OPA najdete v knihovně OPA Gatekeeper Library.

Kyverno

CNCF také sponzoruje opensourcový projekt Kyverno pro vynucování zásad v clusterech Kubernetes. Kyverno je modul zásad nativní pro Kubernetes, který dokáže ověřovat, mutovat a generovat konfigurace prostředků Kubernetes pomocí zásad.

Pomocí Kyverna můžete definovat a spravovat zásady jako prostředky Kubernetes bez použití nového jazyka. Tento přístup umožňuje používat známé nástroje, jako je kubectl, git a kustomize , ke správě zásad.

Kyverno používá kustomizek ověřování překryvné vrstvy ve stylu, podporuje opravu JSON a strategickou opravu sloučení pro klonování a může klonovat prostředky napříč obory názvů na základě flexibilních aktivačních událostí. Zásady můžete nasadit jednotlivě pomocí jejich manifestů YAML nebo jejich zabalení a nasazení pomocí chartů Helm.

Kyverno, na rozdíl od Gatekeeperu nebo Azure Policy pro AKS, může vygenerovat nové objekty Kubernetes se zásadami, nejen ověřit nebo ztlumit existující prostředky. Můžete například definovat zásadu Kyverno, která automatizuje vytvoření výchozích zásad sítě pro jakýkoli nový obor názvů.

Další informace najdete v oficiálním průvodci instalací Kyverno. Seznam připravených nebo přizpůsobitelných zásad najdete v knihovně zásad Kyverno. Referenční informace k řešení potíží (například volání webhooku selhávajícím serverem APIServer) najdete v dokumentaci k řešení potíží s Kyverno.

Volitelně můžete nasadit implementaci Kyverno standardů zabezpečení podů Kubernetes (PSS) jako zásady Kyverno. Ovládací prvky PSS poskytují výchozí bod pro obecné provozní zabezpečení clusteru Kubernetes.

Doplněk Azure Policy pro AKS

Doplněk Azure Policy pro AKS rozšiřuje Gatekeeper v3, kontroleru přístupu webhook pro Open Policy Agent (OPA), aby bylo možné na komponenty clusteru aplikovat prosazení a ochranu v měřítku centralizovaným a konzistentním způsobem. Součástí clusteru jsou pody, kontejnery a obory názvů. Azure Policy umožňuje centralizovanou správu dodržování předpisů a vytváření sestav pro několik clusterů Kubernetes z jednoho umístění. Díky této funkci je správa a zásady správného řízení prostředí s víceclustery efektivnější než nasazení a správa Kyverno nebo Gatekeeper pro každý cluster.

Doplněk Azure Policy pro AKS provádí následující funkce:

• Kontroluje přiřazení zásad ke clusteru pomocí služby Azure Policy.
• Nasadí definice zásad do clusteru jako šablonu omezení a vlastní prostředky omezení.
• Zaznamenává podrobnosti o auditování a dodržování předpisů zpět do služby Azure Policy.

Doplněk Azure Policy je kompatibilní s AKS i s prostředími clusteru Kubernete s s podporou Služby Azure Arc. Další informace najdete v dokumentaci Vysvětlení služby Azure Policy pro clustery Kubernetes. Pokud chcete doplněk nainstalovat na nové a existující clustery, postupujte podle pokynů v tématu Instalace doplňku Azure Policy pro AKS.

Po instalaci doplňku Azure Policy pro AKS můžete u clusteru AKS použít jednotlivé definice zásad nebo skupiny definic zásad označovaných jako iniciativy. Můžete vynutit předdefinované zásady a definice iniciativ služby Azure Policy od začátku nebo vytvořit a přiřadit vlastní definice zásad pomocí kroků uvedených v tématu Vytvoření a přiřazení vlastní definice zásad. Azure Policy předdefinované zásady zabezpečení jsou navrženy tak, aby zvýšily úroveň zabezpečení vašeho AKS clusteru, vynucovaly organizační standardy a hodnotily dodržování předpisů na úrovni celého podniku.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autoři:

• Paul Salvatori | Instanční inženýr
• Martin Gjoshevski | Vedoucí servisní technik

Další přispěvatelé:

• Chad Kittel | Hlavní softwarový inženýr
• Ed Price | Vedoucí programový manažer obsahu
• Theano Petersen | Technický spisovatel

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• AKS pro odborníky na Amazon EKS
• Správa identit a přístupu Kubernetes
• Monitorování a protokolování Kubernetes
• Zabezpečení síťového přístupu k Kubernetes
• Možnosti úložiště pro cluster Kubernetes
• Správa nákladů pro Kubernetes
• Správa uzlů a fondů uzlů Kubernetes

Související prostředky

• Zásady pro Kubernetes
• Zabezpečení clusteru AKS pomocí Služby Azure Policy
• Disciplíny zásad správného řízení pro AKS
• OPA Gatekeeper: Zásady a zásady správného řízení pro Kubernetes