Ejercicio: Habilitación de Azure Policy para Azure Kubernetes Services

  • 45 minutos

Imagine que quiere crear un clúster de Azure Kubernetes Service (AKS) para un nuevo videojuego en el que está trabajando su equipo. Le gustaría probar el uso de directivas de Azure para controlar este clúster. En función de su investigación, decide empezar con las siguientes directivas:

  • Permitir imágenes solo de registros de confianza en el clúster
  • Iniciativa Estándares restringidos de seguridad de pod de clúster de Kubernetes para cargas de trabajo basadas en Linux

El primer paso sería crear un clúster de AKS que tenga habilitadas las directivas de Azure.

Nota:

Este ejercicio es opcional. Si le interesa completar este ejercicio, deberá crear una suscripción de Azure antes de empezar. Si no tiene una cuenta de Azure o no quiere crear una en este momento, puede leer las instrucciones para comprender la información que se está presentando.

Creación de un clúster de AKS con Azure Policy y el complemento Azure Monitor

Antes de instalar el complemento de Azure Policy o habilitar cualquiera de las características de servicio, la suscripción debe habilitar el proveedor de recursos Microsoft.PolicyInsights.

  1. Es preciso que esté instalada y configurada la versión 2.12.0 de la CLI de Azure, o cualquier otra posterior. Para encontrar la versión, ejecute az --version. Si necesita instalarla o actualizarla, consulte Instalación de la CLI de Azure.
  2. Registre los proveedores de recursos y las características en vista previa.

En este ejercicio, se usa Azure Cloud Shell para ejecutar los comandos. No dude en usar el terminal que prefiera para este ejercicio. Para empezar, inicie sesión en Azure Portal.

Configuración del entorno

  1. Vaya a Azure Portal.

    Azure Portal

  2. Seleccione el icono Cloud Shell en la parte superior de la pantalla a la derecha de la barra de búsqueda.

    Captura de pantalla de Azure Portal en la pantalla de creación de Cloud Shell.

  3. Seleccione la suscripción adecuada y a continuación, seleccione Crear almacenamiento.

  4. En la esquina superior izquierda de Cloud Shell resultante, seleccione PowerShell y cámbiela a Bash. Si ya muestra Bash, puede omitir este paso.

  5. Registre los proveedores de recursos y las característica en vista previa (GB) escribiendo el siguiente comando en Cloud Shell.

    # Log in first with az login if you're not using Cloud Shell
# Provider register: Register the Azure Policy provider
az provider register --namespace Microsoft.PolicyInsights

  6. Una vez completados estos pasos previos, siga las instrucciones de la nota anterior para instalar el complemento de Azure Policy en el clúster de AKS que desea administrar. En la sección siguiente, creamos un nuevo clúster y habilitamos el complemento de Azure Policy.

Creación de un clúster de AKS y habilitación del complemento Azure Policy

Ahora que ya ha registrado el proveedor, puede crear un grupo de recursos y un clúster de AKS dentro de ese grupo.

  1. Crear un grupo de recursos

    az group create --location eastus --name videogamerg

  2. Creación de un clúster de AKS con la configuración predeterminada

    Nota:

    En el caso de las cargas de trabajo de producción, le gustaría personalizar aún más la creación del clúster para asegurarse de que cumple los requisitos de seguridad y gobernanza. Trabajará con un clúster simple únicamente con fines de entrenamiento.

    az aks create --name videogamecluster --resource-group videogamerg

  3. Habilitación de directivas de Azure para el clúster

    az aks enable-addons --addons azure-policy --name videogamecluster --resource-group videogamerg