Übung: Aktivieren von Azure Policy für Azure Kubernetes Service

  • 45 Minuten

Angenommen, Sie möchten einen AKS-Cluster (Azure Kubernetes Service) für ein neues Videospiel erstellen, an dem Ihr Team arbeitet. Zur Steuerung dieses Clusters möchten Sie Azure-Richtlinien verwenden. Gemäß Ihren Recherchen beschließen Sie, mit den folgenden Richtlinien zu beginnen:

  • Zulassen von Images in den Cluster nur aus vertrauenswürdigen Registrierungen
  • Eingeschränkte Podsicherheitsstandards für Kubernetes-Cluster bei Linux-basierten Workloadinitiativen

Der erste Schritt besteht darin, einen AKS-Cluster zu erstellen, für den Azure-Richtlinien aktiviert sind.

Hinweis

Diese Übung ist optional. Wenn Sie die Schritte in dieser Übung ausführen möchten, müssen Sie zuvor ein Azure-Abonnement erstellen. Wenn Sie kein Azure-Konto besitzen oder gerade kein Konto erstellen möchten, können Sie die Anweisungen durchlesen und die dargelegten Informationen nachvollziehen.

Erstellen eines AKS-Clusters mit dem Add-On für Azure Policy und Azure Monitor

Bevor Sie das Add-On für Azure Policy installieren oder eines der Dienstfeatures aktivieren, muss Ihr Abonnement den Ressourcenanbieter Microsoft.PolicyInsights aktivieren.

  1. Azure CLI-Version 2.12.0 oder höher muss installiert und konfiguriert sein. Führen Sie az --version aus, um die Version zu finden. Installations- und Upgradeinformationen finden Sie bei Bedarf unter Installieren von Azure CLI.
  2. Registrieren Sie die Ressourcenanbieter und die Previewfunktionen.

In dieser Übung wird Azure Cloud Shell verwendet, um die Befehle auszuführen. Sie können ein Terminal Ihrer Wahl für diese Übung verwenden. Melden Sie sich zunächst beim Azure-Portal an.

Einrichten der Umgebung

  1. Öffnen Sie das Azure-Portal.

    Azure portal

  2. Wählen Sie das Symbol für Cloud Shell aus. Dieses befindet sich oben auf dem Bildschirm rechts neben der Suchleiste.

    Screenshot des Azure-Portals auf dem Bildschirm für die Cloud Shell-Erstellung

  3. Wählen Sie das entsprechende Abonnement und anschließend Speicher erstellen aus.

  4. Wählen Sie in der linken oberen Ecke der resultierenden Cloud Shell-Instanz die Option PowerShell aus, und ändern Sie sie in Bash. Falls bereits Bash angezeigt wird, können Sie diesen Schritt überspringen.

  5. Registrieren Sie die Ressourcenanbieter und Previewfunktionen, indem Sie den folgenden Befehl in Cloud Shell eingeben.

    # Log in first with az login if you're not using Cloud Shell
# Provider register: Register the Azure Policy provider
az provider register --namespace Microsoft.PolicyInsights

  6. Installieren Sie nach Abschluss dieser erforderlichen Schritte das Add-On für Azure Policy in dem AKS-Cluster, den Sie verwalten möchten. Befolgen Sie dazu die Anweisungen im obigen Hinweis. Im nächsten Abschnitt wird ein neuer Cluster erstellt und das Add-On für Azure Policy aktiviert.

Erstellen eines AKS-Clusters und Aktivieren des Add-Ons für Azure Policy

Nachdem wir den Anbieter registriert haben, können wir eine neue Ressourcengruppe und einen AKS-Cluster in dieser Gruppe erstellen.

  1. Erstellen einer Ressourcengruppe

    az group create --location eastus --name videogamerg

  2. Erstellen eines AKS-Clusters mit den Standardeinstellungen

    Hinweis

    Für Produktionsworkloads sollten Sie die Konfiguration Ihres Clusters weiter anpassen, damit er Ihre Sicherheits- und Governanceanforderungen erfüllt. Zu Schulungszwecken verwenden wir lediglich einen einfachen Cluster.

    az aks create --name videogamecluster --resource-group videogamerg

  3. Aktivieren von Azure-Richtlinien für den Cluster

    az aks enable-addons --addons azure-policy --name videogamecluster --resource-group videogamerg