Administración de Kubernetes habilitado para Azure Arc mediante Azure Policy y Azure Monitor

  • 8 minutos

Azure Arc centraliza y simplifica la administración mediante la habilitación de una variedad de servicios de Azure, como Azure Policy y Azure Monitor.

En esta unidad, obtendrá información sobre el uso de estos servicios para administrar y supervisar clústeres de Kubernetes habilitado para Azure Arc.

Azure Policy

Azure Policy usa reglas declarativas basadas en las propiedades de los tipos de recursos de destino, incluidos los clústeres de Kubernetes y sus componentes. Estas reglas forman definiciones de directiva que los administradores pueden aplicar a través de la asignación de directivas a grupos de recursos, suscripciones o grupos de administración.

Azure Policy para Kubernetes

Con Azure Policy para Kubernetes, las empresas pueden aplicar reglas de gobernanza uniformes en todos sus clústeres de Kubernetes habilitado para Azure Arc y detectar cualquier caso de incumplimiento de los estándares de la organización.

La extensión de Azure Policy para Kubernetes habilitado para Arc realiza las siguientes acciones:

  • Comprueba periódicamente si hay asignaciones de Azure Policy dirigidas al clúster de Kubernetes que hospeda los pods del controlador de admisión.
  • Implementa las definiciones de directiva en el clúster como recursos personalizados que aplican restricciones, que los pods del controlador de admisión hacen cumplir.
  • Envía datos de auditoría y cumplimiento a Azure Policy, para que pueda revisar su estado mediante Azure Portal de forma similar a otros recursos habilitados para Azure o Azure Arc.

Definiciones de directivas integradas para Kubernetes habilitado para Arc

Azure Policy ofrece muchas definiciones integradas para Kubernetes habilitado para Azure Arc, incluidas las siguientes de uso más común:

Nombre de la directiva Descripción de directiva
No permitir contenedores con privilegios en el clúster de Kubernetes Impide la creación de contenedores con privilegios en un clúster.
Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS Garantiza el uso de HTTPS para las conexiones de entrada.
Los servicios de clúster de Kubernetes solo deben usar direcciones IP externas permitidas Garantiza que solo se usen las direcciones IP externas permitidas.
Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes Aplica los límites de los recursos de CPU y memoria del contenedor.
Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos Restringe la escucha de los servicios solo en los puertos permitidos.
Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes Restringe las imágenes que se pueden usar para implementar contenedores solo a las de los registros de confianza.
Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas Restringe las capacidades para reducir la superficie de ataque de los contenedores.
Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos Restringe el acceso del pod a la red del host y el intervalo de puertos de host permitidos en un clúster.

Hay muchas más definiciones de directivas integradas disponibles. Para ver todas las definiciones de directiva, busque y seleccione Directiva en Azure Portal, elija Definiciones en el menú izquierdo y, luego, seleccione Kubernetes en la lista desplegable Categoría.

Implementación de Azure Policy para Kubernetes

Para implementar Azure Policy para Kubernetes en clústeres conectados, debe instalar la extensión de Azure Policy. En el caso de Kubernetes habilitado para Azure Arc, el proceso consta de los siguientes pasos generales.

  1. Inicie sesión en el inquilino de Microsoft Entra con una cuenta que tenga permisos para administrar el recurso de Kubernetes habilitado para Arc.
  2. Cree una instancia de la extensión de Azure Policy en el clúster.
  3. Cree una asignación de directiva mediante una de las definiciones de directiva específicas de Kubernetes.

Una vez creada la asignación de directiva, Azure Policy comienza a comprobar el cumplimiento.

Azure Monitor

Azure Monitor amplía la completa funcionalidad de administración basada en la nube más allá de Azure y la lleva a centros de datos locales y a proveedores de nube que no son de Microsoft. Monitor recopila y supervisa métricas y registros de actividad y diagnóstico, eventos de servicios de Azure, recursos habilitados para Arc y centros de datos locales y proveedores de nube de terceros.

Entre las características de la interfaz de Azure Monitor se incluyen las siguientes:

  • Paneles y libros.
  • Análisis de métricas con herramientas como el Explorador de métricas o Power BI.
  • Grupos de acciones comunes que designan las acciones desencadenadas por alertas y los destinatarios de estas.

Información sobre Container Insights de Azure Monitor

En Container Insights de Azure Monitor se ofrecen todos los detalles sobre el estado del entorno de Kubernetes, lo que ayuda a mantener la estabilidad operativa y la continuidad empresarial. Las métricas se recopilan en controladores, nodos y contenedores en entornos de Kubernetes, incluido Kubernetes habilitado para Azure Arc.

En Container Insights se proporcionan las siguientes funcionalidades:

  • Identificación de los contenedores que se ejecutan en cada nodo del clúster y su uso medio de procesador y memoria, con el fin de detectar cuellos de botella en los recursos.
  • Identificación de los contenedores que se ejecutan en pods individuales para ayudarle a realizar un seguimiento del rendimiento general del pod.
  • Evaluación del uso de recursos de las cargas de trabajo que se ejecutan en el host y que no están relacionadas con los procesos estándar que admiten el pod.
  • Comparación del comportamiento del clúster con cargas medias y más pesadas, para ayudar a evaluar las necesidades de capacidad y calcular la carga máxima que puede mantener el clúster.
  • Configuración de alertas recibir notificaciones de forma proactiva cuando el uso de recursos supere los umbrales aceptables o cuando se produzca un cambio en el estado de mantenimiento del clúster.

Supervisión de clústeres de Kubernetes habilitado para Azure Arc

Container Insights de Azure Monitor se basa en una versión contenedorizada del Agente de Azure Monitor para Linux. Este agente se ejecuta en el clúster supervisado para recopilar registros y métricas de rendimiento de sus nodos y contenedores. El agente interactúa directamente con la API de métricas de Kubernetes y carga los datos recopilados en Azure.

El proceso para implementar Container Insights de Azure Monitor para las implementaciones de Kubernetes habilitado para Azure Arc consta de los siguientes pasos generales.

  1. Inicie sesión en el inquilino de Microsoft Entra con una cuenta que tenga permisos para administrar el recurso de Kubernetes habilitado para Arc.
  2. Localice el identificador de área de trabajo del área de trabajo de Log Analytics que desea usar.
  3. Cree una instancia de la extensión Container Insights de Azure Monitor en el clúster mediante el identificador del área de trabajo de Log Analytics.