Kontrola stavu dodržování předpisů pomocí Azure Policy

  • 3 min

V předchozí části jste viděli, jak se dají zásady Azure použít k snadnému řízení clusteru pomocí předdefinovaných zásad a iniciativ. Také jsme si poznamenali, že zásady ještě neukončí existující pody. Chceme zjistit nedodržující pody, abychom s nimi mohli provádět akce. V tomto cvičení to uděláme.

Poznámka:

Toto cvičení není povinné. Pokud chcete absolvovat toto cvičení, budete muset před zahájením vytvořit předplatné Azure. Pokud nemáte účet Azure nebo ho v tuto chvíli nechcete vytvořit, můžete si přečíst pokyny, abyste porozuměli zobrazeným informacím.

Zobrazení nekompatibilních podů pomocí webu Azure Portal

  1. Přejděte na stránku Zásady na webu Azure Portal.

  2. V horní části můžete obor nastavit na skupinu prostředků clusteru kliknutím na .... Vyberte předplatné a skupinu prostředků, ve které se nachází cluster Azure Kubernetes Service (AKS) a v dolní části stránky zvolte Vybrat.

    Snímek obrazovky znázorňující, jak nastavit rozsah zásad, které vás zajímají, si můžete prohlédnout.

    Poznámka:

    Zobrazení nevyhovujících podů na portálu může trvat několik minut.

    Zde vidíme, že máme nedodržující prostředky pro zásady i iniciativu, kterou jsme nasadili. Prostředky nevyhovují třem zásadám z omezených standardů zabezpečení podů clusteru Kubernetes pro úlohy založené na Linuxu pro iniciativu videogamerg . Výběrem této iniciativy se zobrazí, které z osmi zásad jsou tři, které nevyhovují předpisům.

    Snímek obrazovky zobrazující zásady, se kterými prostředky nedodržují předpisy

  3. Vyberte kontejnery clusteru Kubernetes, které by měly používat jenom povolené zásady imagí. Zobrazí se cluster, který v něm obsahuje nedodržující pod.

  4. Výběrem clusteru získáte další podrobnosti o tom, který pod nevyhovuje předpisům. Tady uvidíte název konkrétního podu, který nevyhovuje předpisům. Vidíte, že se jedná pouze o první pod, který byl nasazen, který nedodržuje předpisy. Vidíte, že zobrazení těchto stránek zásad je efektivní způsob, jak auditovat stav dodržování předpisů clusteru.

    Snímek obrazovky znázorňující, že nevyhovuje předpisům jenom první nasazený pod

Odebrání podu nedodržujícího předpisy a opětovná kontrola dodržování předpisů

Teď, když jsme našli pod, který nevyhovuje předpisům, můžeme pokračovat a tento pod odstranit. Po odstranění podu zásada zabrání budoucím podům, které nejsou v souladu s ním, aby se nasazovaly. Standardy zabezpečení podů clusteru Kubernetes pro úlohy založené na Linuxu pro iniciativu videogamerg jsou nastavené na audit, což znamená, že můžeme identifikovat pody, které nedodržují předpisy, ale nezabrání nasazení podů. Dosažení souladu s touto iniciativou je nad rámec tohoto kurzu, takže se zde zaměříme na opravu zásad, které jsme nastavili tak, aby měly účinek zamítnutí .

Znovu otevřete Cloud Shell a odstraňte nasazení nedodržující předpisy.

kubectl delete deployment simple-nginx

Než se změny projeví na portálu, může to trvat až 45 minut. Po čekání se vraťte do zásad a podívejte se, jestli pody nedodržují předpisy. Zjistíte, že váš cluster je teď v souladu se zásadami.

Snímek obrazovky znázorňující, že prostředek je teď kompatibilní

Shrnutí

V této lekci jste se dozvěděli, jak pomocí webu Azure Portal identifikovat pody, které nevyhovují vašim zásadám. Pak jste napřed odstranili pod, který není v souladu s některou ze zásad. Dozvěděli jste se také, jak řešit potíže s nasazeními a identifikovat pody, které se nenasazují kvůli zásadám zamítnutí. Dozvěděli jste se, jak pomocí webu Azure Portal zobrazit nevyhovující prostředky a jaké zásady nedodržují předpisy. Vyřešili jste také jeden z problémů odstraněním podu nedodržujícího předpisy, který jste vytvořili. Teď, když víte, jak přidat a otestovat zásady a iniciativu, můžete projít další integrované zásady pro Kubernetes a najít ty, které vyhovují vašim obchodním potřebám.