Exercice - Activer Azure Policy pour Azure Kubernetes Service

  • 45 minutes

Imaginez que vous souhaitez créer un cluster Azure Kubernetes Service (AKS) pour un nouveau jeu vidéo sur lequel votre équipe travaille. Vous souhaitez essayer d’utiliser des stratégies Azure pour régir ce cluster. En fonction de vos recherches, vous décidez de commencer par les stratégies suivantes :

  • Autoriser uniquement les images provenant de registres approuvés dans le cluster
  • Initiative Standards restreints de sécurité des pods de cluster Kubernetes pour les charges de travail basées sur Linux

La première étape consiste à créer un cluster AKS sur lequel des stratégies Azure sont activées.

Notes

Cet exercice est facultatif. Si vous souhaitez effectuer cet exercice, vous devrez créer un abonnement Azure avant de commencer. Si vous n’avez pas de compte Azure ou si vous ne souhaitez pas en créer un pour l’instant, vous pouvez lire les instructions pour comprendre les informations qui sont présentées.

Créer un cluster AKS avec un module complémentaire Azure Policy et Azure Monitor

Avant d’installer le module complémentaire Azure Policy ou d’activer l’une des fonctionnalités du service, votre abonnement doit activer l' Microsoft.PolicyInsights fournisseur de ressources.

  1. La version 2.12.0 ou ultérieure d’Azure CLI doit être installée et configurée. Pour rechercher la version, exécutez az --version. Si vous devez effectuer une installation ou une mise à niveau, consultez Installer Azure CLI.
  2. Inscrivez les fournisseurs de ressources et les fonctionnalités en préversion.

Dans cet exercice, nous utilisons Azure Cloud Shell pour exécuter les commandes. N’hésitez pas à utiliser un terminal de votre choix pour cet exercice. Pour commencer, connectez-vous à votre Portail Microsoft Azure

Configuration de l’environnement

  1. Accédez au portail Azure.

    Azure portal

  2. Sélectionnez l’icône Cloud Shell en haut de l’écran à droite de la barre de recherche

    Capture d’écran du portail Azure sur l’écran de création Cloud Shell.

  3. Sélectionnez l'abonnement approprié, puis sélectionnez Créer un stockage.

  4. Dans le coin supérieur gauche du Cloud Shell résultant, sélectionnez PowerShell et remplacez-le par Bash. S’il affiche déjà Bash, vous pouvez ignorer cette étape

  5. Inscrivez les fournisseurs de ressources et les fonctionnalités en préversion en entrant la commande suivante dans Cloud Shell.

    # Log in first with az login if you're not using Cloud Shell
# Provider register: Register the Azure Policy provider
az provider register --namespace Microsoft.PolicyInsights

  6. Une fois ces étapes préalables terminées, suivez les instructions de la note précédente pour installer le module complémentaire Azure Policy dans le cluster AKS que vous souhaitez gérer. Dans la section suivante, nous créons un cluster et activez le module complémentaire Azure Policy.

Créer un cluster AKS et activer le module complémentaire Azure Policy

Maintenant que le fournisseur est inscrit, nous pouvons créer un groupe de ressources et créer un cluster AKS dans ce groupe.

  1. Créer un groupe de ressources

    az group create --location eastus --name videogamerg

  2. Créer un cluster AKS à l’aide des paramètres par défaut

    Notes

    Pour les charges de travail de production, vous souhaiterez personnaliser davantage la création de votre cluster pour vous assurer qu’il répond à vos besoins de sécurité et de gouvernance. Nous allons utiliser un cluster simple juste pour nous entraîner.

    az aks create --name videogamecluster --resource-group videogamerg

  3. Activer les stratégies Azure pour le cluster

    az aks enable-addons --addons azure-policy --name videogamecluster --resource-group videogamerg