Cvičení – povolení služby Azure Policy pro Azure Kubernetes Services

  • 45 min

Představte si, že chcete vytvořit cluster Azure Kubernetes Service (AKS) pro novou videohru, na které váš tým pracuje. K řízení tohoto clusteru chcete použít zásady Azure. Na základě vašeho výzkumu se rozhodnete začít s následujícími zásadami:

  • Povolit image jenom z důvěryhodných registrů do clusteru
  • Omezené bezpečnostní standardy pro zabezpečení podů v clusteru Kubernetes v rámci iniciativy pro úlohy na Linuxu

Prvním krokem je vytvoření clusteru AKS s povolenými zásadami Azure.

Poznámka

Toto cvičení je volitelné. Pokud chcete absolvovat toto cvičení, budete muset před zahájením vytvořit předplatné Azure. Pokud nemáte účet Azure nebo ho v tuto chvíli nechcete vytvořit, můžete si přečíst pokyny, abyste porozuměli zobrazeným informacím.

Vytvoření clusteru AKS pomocí služby Azure Policy a doplňku Azure Monitor

Před instalací doplňku Azure Policy nebo povolením funkcí služby musí vaše předplatné mít povoleného Microsoft.PolicyInsights poskytovatele prostředků.

  1. Potřebujete nainstalovanou a nakonfigurovanou verzi Azure CLI 2.12.0 nebo novější. Verzi najdete spuštěním az --version. Pokud potřebujete nainstalovat nebo upgradovat, viz Instalace Azure CLI.
  2. Zaregistrujte poskytovatele prostředků a náhledové funkce.

V tomto cvičení použijeme Azure Cloud Shell ke spuštění příkazů. Pro toto cvičení můžete použít terminál podle vašeho výběru. Začněte tím, že se přihlásíte do Azure Portal

Nastavení prostředí

  1. Přejděte na web Azure Portal.

    Azure portál

  2. Vyberte ikonu Cloud Shell v horní části obrazovky napravo od vyhledávací lišty.

    snímek obrazovky webu Azure Portal na obrazovce pro vytvoření cloud shellu

  3. Vyberte příslušné předplatné a pak vyberte Vytvořte úložiště.

  4. V levém horním rohu zobrazeného prostředí Cloud Shellu vyberte možnost PowerShell a změňte ji na Bash. Pokud se již Bash zobrazuje, můžete tento krok přeskočit.

  5. Zaregistrujte poskytovatele prostředků a funkce ve verzi Preview zadáním následujícího příkazu v Cloud Shellu.

    # Log in first with az login if you're not using Cloud Shell
# Provider register: Register the Azure Policy provider
az provider register --namespace Microsoft.PolicyInsights

  6. Podle pokynů v předchozí poznámce, po dokončení těchto nezbytných kroků, nainstalujte doplněk Azure Policy v clusteru AKS, který chcete spravovat. V další části vytvoříme nový cluster a povolíme doplněk Azure Policy.

Vytvoření clusteru AKS a povolení doplňku Azure Policy

Teď, když máme zaregistrovaného poskytovatele, můžeme v této skupině vytvořit novou skupinu prostředků a vytvořit cluster AKS.

  1. Vytvoření skupiny prostředků

    az group create --location eastus --name videogamerg

  2. Vytvoření clusteru AKS pomocí výchozího nastavení

    Poznámka

    V případě produkčních úloh byste chtěli dále přizpůsobit vytváření clusteru, abyste zajistili, že splňuje vaše požadavky na zabezpečení a zásady správného řízení. Pracujeme s jednoduchým clusterem čistě pro účely trénování.

    az aks create --name videogamecluster --resource-group videogamerg

  3. Povolte zásady Azure pro cluster

    az aks enable-addons --addons azure-policy --name videogamecluster --resource-group videogamerg