Vérifier l’état de conformité avec Azure Policy

  • 3 minutes

Dans la section précédente, vous avez vu comment les stratégies Azure peuvent être utilisées pour gouverner facilement votre cluster avec une stratégie et une initiative intégrées. Nous avons également noté que la politique ne met pas fin aux pods déjà existants. Nous souhaitons découvrir les pods non conformes afin de pouvoir prendre des mesures à leur sujet. Dans cet exercice, nous faisons tout cela.

Remarque

Cet exercice est facultatif. Si vous souhaitez effectuer cet exercice, vous devrez créer un abonnement Azure avant de commencer. Si vous n’avez pas de compte Azure ou si vous ne souhaitez pas en créer un pour l’instant, vous pouvez lire les instructions pour comprendre les informations qui sont présentées.

Utilisation du Portail Microsoft Azure pour afficher les pods non conformes

  1. Accédez à la page Stratégie dans le portail Azure.

  2. En haut, vous pouvez définir l’étendue sur votre groupe de ressources de cluster en cliquant sur le .... Sélectionnez l’abonnement et le groupe de ressources où se trouve le cluster Azure Kubernetes Service (AKS), puis choisissez Sélectionner en bas de la page.

    Capture d’écran montrant comment définir l’étendue des stratégies que vous voulez afficher.

    Notes

    L’affichage des pods non conformes dans le portail peut prendre quelques minutes.

    Nous voyons ici que nous disposons de ressources non conformes à la fois pour Azure Policy et pour l'initiative que nous avons déployées. Les ressources ne sont pas conformes à trois des politiques des normes restreintes de sécurité des pods de cluster Kubernetes pour les charges de travail basées sur Linux pour l'initiative videogamerg. La sélection de cette initiative indique les huit stratégies qui ne sont pas conformes.

    capture d’écran montrant les stratégies auxquelles les ressources ne sont pas conformes.

  3. Sélectionnez les conteneurs de cluster Kubernetes qui doivent utiliser uniquement Azure Policy d'images autorisées. Vous voyez le cluster qui contient le pod non conforme

  4. Sélectionnez le cluster pour obtenir plus de détails sur le pod qui n'est pas conforme. Ici, vous voyez le nom du pod spécifique qui n’est pas conforme. Vous voyez qu’il s’agit uniquement du premier pod déployé qui n’est pas conforme. Vous pouvez voir que l’affichage de ces pages de stratégie est un moyen efficace d’auditer l’état de conformité de votre cluster.

    capture d'écran montrant que seul le premier pod déployé n'était pas conforme.

Supprimez le pod non conforme et revérifiez la conformité

Maintenant que nous avons trouvé le pod qui n’est pas conforme, nous pouvons continuer et supprimer ce pod. Une fois le pod supprimé, Azure Policy empêche le déploiement des futurs pods qui ne lui sont pas conformes. Les normes restreintes de sécurité des pods de cluster Kubernetes pour les charges de travail basées sur Linux pour l'initiative videogamerg sont configurées pour faire l'objet d'un audit, ce qui signifie que nous pouvons identifier les pods qui ne sont pas conformes, mais n'empêcheraient pas leur déploiement. Faire en sorte que nos pods se conforment à cette initiative dépasse le cadre de ce cours, nous nous concentrons donc ici sur la correction d’Azure Policy que nous avons définie pour avoir l'effet de refus.

Ouvrez à nouveau Cloud Shell et supprimez le déploiement non conforme.

kubectl delete deployment simple-nginx

La prise en compte des modifications dans le portail peut prendre jusqu’à 45 minutes. Après avoir attendu, revenez à la stratégie pour voir s’il y a encore des pods non conformes. Vous constatez que votre cluster est désormais conforme Azure Policy.

Capture d’écran montrant que la ressource est maintenant compatible.

Résumé

Dans cette unité, vous avez appris à utiliser le Portail Microsoft Azure pour identifier les espaces qui ne sont pas conformes à vos stratégies. Ensuite, vous avez supprimé un espace qui n'était pas conforme à l'une des politiques. Vous avez également appris à dépanner vos déploiements et à identifier les pods qui ne sont pas déployés en raison d'Azure Policy de refus. Vous avez appris à utiliser le Portail Microsoft Azure pour afficher les ressources non conformes et les stratégies avec lesquelles elles ne sont pas conformes. Vous avez également résolu l’un des problèmes en supprimant le pod non conforme que vous avez créé. Maintenant que vous savez comment ajouter et tester Azure Policy et une initiative, vous pouvez parcourir les autres stratégies intégrées à Kubernetes pour trouver celles qui répondent aux besoins de votre entreprise.