Cvičení – povolení služby Azure Policy pro Azure Kubernetes Services

  • 45 min

Představte si, že chcete vytvořit cluster Azure Kubernetes Service (AKS) pro novou videohru, na které váš tým pracuje. K řízení tohoto clusteru chcete použít zásady Azure. Na základě vašeho výzkumu se rozhodnete začít s následujícími zásadami:

  • Povolit image jenom z důvěryhodných registrů do clusteru
  • Zabezpečení podů clusteru Kubernetes s omezenými standardy pro iniciativu úloh založených na Linuxu

Prvním krokem je vytvoření clusteru AKS s povolenými zásadami Azure.

Poznámka:

Toto cvičení není povinné. Pokud chcete absolvovat toto cvičení, budete muset před zahájením vytvořit předplatné Azure. Pokud nemáte účet Azure nebo ho v tuto chvíli nechcete vytvořit, můžete si přečíst pokyny, abyste porozuměli zobrazeným informacím.

Vytvoření clusteru AKS pomocí služby Azure Policy a doplňku Azure Monitor

Před instalací doplňku Azure Policy nebo povolením některé z funkcí služby musí vaše předplatné povolit poskytovatele prostředků Microsoft.Policy Přehledy.

  1. Potřebujete nainstalovanou a nakonfigurovanou verzi Azure CLI 2.12.0 nebo novější. Verzi najdete spuštěním az --versionpříkazu . Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace rozhraní příkazového řádku Azure CLI.
  2. Zaregistrujte poskytovatele prostředků a funkce preview.

V tomto cvičení použijeme Azure Cloud Shell ke spuštění příkazů. Pro toto cvičení můžete použít terminál podle vašeho výběru. Začněte tím, že se přihlásíte k webu Azure Portal.

Nastavení prostředí

  1. Přejděte na Azure Portal.

    Azure Portal

  2. Výběr ikony Cloud Shellu v horní části obrazovky napravo od panelu hledání

    snímek obrazovky webu Azure Portal na obrazovce pro vytvoření Cloud Shellu

  3. Vyberte příslušné předplatné a pak vyberte Vytvořit úložiště.

  4. V levém horním rohu výsledného Cloud Shellu vyberte PowerShell a změňte ho na Bash. Pokud už Bash zobrazuje, můžete tento krok přeskočit.

  5. Zaregistrujte poskytovatele prostředků a funkce ve verzi Preview zadáním následujícího příkazu v Cloud Shellu.

    # Log in first with az login if you're not using Cloud Shell
# Provider register: Register the Azure Policy provider
az provider register --namespace Microsoft.PolicyInsights

  6. Po dokončení těchto kroků požadavků nainstalujte doplněk Azure Policy v clusteru AKS, který chcete spravovat, podle pokynů v předchozí poznámce. V další části vytvoříme nový cluster a povolíme doplněk Azure Policy.

Vytvoření clusteru AKS a povolení doplňku Azure Policy

Teď, když máme zaregistrovaného poskytovatele, můžeme v této skupině vytvořit novou skupinu prostředků a vytvořit cluster AKS.

  1. Vytvoření skupiny zdrojů

    az group create --location eastus --name videogamerg

  2. Vytvoření clusteru AKS pomocí výchozího nastavení

    Poznámka:

    V případě produkčních úloh byste chtěli dále přizpůsobit vytváření clusteru, abyste zajistili, že splňuje vaše požadavky na zabezpečení a zásady správného řízení. Pracujeme s jednoduchým clusterem čistě pro účely trénování.

    az aks create --name videogamecluster --resource-group videogamerg

  3. Povolení zásad Azure pro cluster

    az aks enable-addons --addons azure-policy --name videogamecluster --resource-group videogamerg