Sdílet prostřednictvím

Konzistentní nasazování aplikací pomocí konfigurací Flux v2 a Azure Policy

  • Článek

Azure Policy můžete použít k použití konfigurací Flux v2 (Microsoft.KubernetesConfiguration/fluxConfigurationstypu prostředku) ve velkém měřítku v clusterech Kubernetes (Microsoft.Kubernetes/connectedClusters) nebo AKS (Microsoft.ContainerService/managedClusters) s podporou služby AzureArc. Pokud chcete použít Azure Policy, vyberete předdefinované definice zásad a vytvoříte přiřazení zásad.

Než přiřadíte zásadu, která vytváří konfigurace fluxu, musíte zajistit, aby se rozšíření Flux nasadila do vašich clusterů. Můžete to provést přiřazením zásady, která nasadí rozšíření do všech clusterů ve vybraném oboru (všechny skupiny prostředků v předplatném nebo skupině pro správu nebo konkrétní skupiny prostředků). Při vytváření přiřazení zásady pro nasazení konfigurací pak nastavíte parametry pro konfiguraci Flux, která se použije u clusterů v daném oboru.

Pokud chcete umožnit oddělení obav, můžete vytvořit více přiřazení zásad, z nichž každá má jinou konfiguraci Flux v2 odkazující na jiný zdroj. Například jedno úložiště Git můžou používat správci clusteru, zatímco jiné úložiště můžou používat týmy aplikací.

Předdefinované definice zásad

Následující předdefinované definice zásad poskytují podporu pro tyto scénáře:

Popis Zásady
Instalace rozšíření Flux (vyžaduje se pro všechny scénáře) Configure installation of Flux extension on Kubernetes cluster
Konfigurace fluxu pomocí veřejného úložiště Git (obecně testovací scénář) Configure Kubernetes clusters with Flux v2 configuration using public Git repository
Konfigurace fluxu s využitím privátního úložiště Git s ověřováním SSH Configure Kubernetes clusters with Flux v2 configuration using Git repository and SSH secrets
Konfigurace fluxu s využitím privátního úložiště Git s ověřováním HTTPS Configure Kubernetes clusters with Flux v2 configuration using Git repository and HTTPS secrets
Konfigurace fluxu s využitím privátního úložiště Git s ověřováním certifikátu CERTIFIKAČNÍ autority HTTPS Configure Kubernetes clusters with Flux v2 configuration using Git repository and HTTPS CA Certificate
Konfigurace fluxu s využitím privátního úložiště Git s místním tajným kódem K8s Configure Kubernetes clusters with Flux v2 configuration using Git repository and local secrets
Konfigurace fluxu s využitím privátního zdroje kbelíku a tajných kódů KeyVault Configure Kubernetes clusters with Flux v2 configuration using Bucket source and secrets in KeyVault
Konfigurace fluxu s využitím privátního zdroje kbelíku a místního tajného kódu K8s Configure Kubernetes clusters with specified Flux v2 Bucket source using local secrets

Pokud chcete najít všechny definice zásad Flux v2, vyhledejte flux. Další informace najdete v tématu Předdefinované definice zásad Azure pro Kubernetes s podporou Azure Arc.

Požadavky

  • Jeden nebo více clusterů Kubernetes s podporou arc nebo clusterů AKS
  • Microsoft.Authorization/policyAssignments/write oprávnění k oboru (předplatnému nebo skupině prostředků) k vytvoření přiřazení zásad.

Vytvoření přiřazení zásady pro instalaci rozšíření Flux

Aby se zásady použily na cluster konfigurace Flux v2, musí být rozšíření Flux nejprve nainstalované v clusteru. Pokud chcete zajistit, aby se rozšíření nainstalovalo na každý z vašich clusterů, přiřaďte definici zásad clusteru Kubernetes konfiguraci instalace rozšíření Flux v definici zásad clusteru Kubernetes.

  1. Na webu Azure Portal přejděte na Zásady.
  2. V části Vytváření obsahu na bočním panelu vyberte Definice.
  3. Vyhledejte konfiguraci instalace rozšíření Flux v integrované definici zásad clusteru Kubernetes a vyberte ji.
  4. Vyberte Přiřadit zásadu.
  5. Nastavte obor na skupinu pro správu, předplatné nebo skupinu prostředků, na kterou se přiřazení zásady použije.
    • Pokud chcete vyloučit všechny prostředky z oboru přiřazení zásad, nastavte vyloučení.
  6. Dejte přiřazení zásady snadno identifikovatelný název a popis přiřazení.
  7. Ujistěte se, že je vynucení zásad nastavené na Povoleno.
  8. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

Vytvoření přiřazení zásad pro použití konfigurací fluxu

V dalším kroku se vraťte do seznamu Definice (v části Vytváření zásad) a použijte definici zásad konfigurace na stejný obor.

  1. Vyhledejte a vyberte clustery Kubernetes s konfigurací Flux v2 pomocí integrované definice zásad veřejného úložiště Git nebo jedné z dalších definic zásad pro použití konfigurací Flux.

  2. Vyberte Přiřadit zásadu.

  3. Nastavte obor na stejný obor, který jste vybrali při přiřazování první zásady, včetně všech vyloučení.

  4. Dejte přiřazení zásady snadno identifikovatelný název a popis přiřazení.

  5. Ujistěte se, že je vynucení zásad nastavené na Povoleno.

  6. Výběrem možnosti Další otevřete kartu Parametry .

  7. Nastavte hodnoty parametrů, které se mají použít, pomocí názvů parametrů z definice zásady.

    • Další informace o parametrech najdete v tématu Podporované parametry GitOps (Flux v2).
    • Při vytváření konfigurací Flux prostřednictvím zásad musíte zadat hodnotu pro jeden (a pouze jeden) těchto parametrů: repositoryRefBranch, , repositoryRefTagrepositoryRefSemver, . repositoryRefCommit

  8. Výběrem možnosti Další otevřete úlohu Náprava.

  9. Povolte vytvoření úlohy nápravy.

  10. Ověřte, že je zaškrtnutá možnost Vytvořit spravovanou identitu a že přispěvatel je uvedený v části Oprávnění . Další informace najdete v tématu Rychlý start: Vytvoření přiřazení zásady k identifikaci prostředků nedodržování předpisů a nápravě nevyhovujících prostředků pomocí azure Policy.

  11. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

Konfigurace se pak použije na nové clustery vytvořené v rámci oboru přiřazení zásad.

U existujících clusterů možná budete muset ručně spustit úlohu nápravy. Tento úkol obvykle trvá 10 až 20 minut, než se přiřazení zásady projeví.

Ověření přiřazení zásad

  1. Na webu Azure Portal přejděte do clusteru Kubernetes nebo AKS s podporou služby Azure Arc, který je v rozsahu přiřazení zásad.
  2. V nabídce služby v části Nastavení vyberte GitOps. V seznamu Konfigurace by se měla zobrazit konfigurace vytvořená přiřazením zásad.
  3. V nabídce služby v části Prostředky Kubernetes vyberte Obory názvů. Měli byste vidět obor názvů vytvořený konfigurací Flux.

Přizpůsobení zásad

Předdefinované zásady pokrývají hlavní scénáře použití GitOps s Flux v2 v clusterech Kubernetes. Vzhledem k limitu 20 parametrů povolených v přiřazeních azure Policy ale nejsou součástí předdefinovaných zásad všechny parametry. Kromě toho, aby se vešel do tohoto limitu 20 parametrů, je možné vytvořit pouze jednu kustomizaci pomocí předdefinovaných zásad.

Pokud máte scénář, který se liší od předdefinovaných zásad, můžete tato omezení překonat vytvořením vlastních zásad pomocí předdefinovaných zásad jako šablon. Pokud chcete obejít limit 20 parametrů, vytvořte vlastní zásady, které obsahují jenom parametry, které potřebujete, a pevně zakódujte zbytek.

Další kroky