演習 - Azure Kubernetes Services 用の Azure Policy を有効にする
あなたは、チームが取り組んでいる新しいビデオ ゲーム用に Azure Kubernetes Service (AKS) クラスターを作成する必要があるとします。 あなたは、Azure ポリシーを使用してこのクラスターを管理することを試みたいと考えています。 調査に基づいて、次のポリシーから開始することを決定しました。
- 信頼できるレジストリからのイメージのみを、クラスターに対して許可する
- Linux ベースのワークロードの Kubernetes クラスター ポッドのセキュリティで制限された標準イニシアチブ
最初の手順では、Azure ポリシーを有効にした AKS クラスターを作成します。
注意
この演習は省略してもかまいません。 この演習を実行する場合は、始める前に Azure サブスクリプションを作成する必要があります。 Azure アカウントをお持ちでない場合、またはこの時点で作成しない場合は、提示されている情報を理解するため手順に目を通してください。
Azure Policy と Azure Monitor アドオンを使用して AKS クラスターを作成する
Azure Policy アドオンをインストールするか、いずれかのサービス機能を有効にする前に、サブスクリプションで Microsoft.PolicyInsights リソース プロバイダーを有効にする必要があります。
- Azure CLI バージョン 2.12.0 以降がインストールされて構成されている必要があります。 バージョンを確認するには、
az --versionを実行します。 インストールまたはアップグレードが必要な場合は、Azure CLI のインストールに関するページを参照してください。 - リソース プロバイダーとプレビュー機能を登録します。
この演習では、Azure Cloud Shell を使用してコマンドを実行します。 この演習では、選択したターミナルを自由に使用できます。 まず、自分の Azure portal アカウントにログインします
環境のセットアップ
Azure Portal にアクセスします。
画面上部の検索バーの右側にある Cloud Shell アイコンを選択します
適切なサブスクリプションを選択し、[ストレージの作成] を選択します。
結果として得られた Cloud Shell の左上隅で、[PowerShell] を選択し、それを [Bash] に変更します。 Bash が既に表示されている場合は、この手順をスキップできます
次のコマンドを Cloud Shell に入力して、リソース プロバイダーとプレビュー機能を登録します。
# Log in first with az login if you're not using Cloud Shell # Provider register: Register the Azure Policy provider az provider register --namespace Microsoft.PolicyInsightsこれらの前提条件の手順が完了したら、前述の注に記載された手順を使用して、管理する AKS クラスターに Azure Policy アドオンをインストールします。 次のセクションでは、新しいクラスターを作成し、Azure Policy アドオンを有効にします。
AKS クラスターを作成し、Azure Policy アドオンを有効にする
プロバイダーが登録されたので、新しいリソース グループを作成し、そのグループ内に AKS クラスターを作成できます。
リソース グループを作成する
az group create --location eastus --name videogamerg既定の設定を使用して AKS クラスターを作成する
Note
運用ワークロードの場合は、クラスターの作成をさらにカスタマイズして、それがセキュリティとガバナンスの要件を確実に満たすようにする必要があります。 純粋にトレーニング目的で、シンプルなクラスターを使用します。
az aks create --name videogamecluster --resource-group videogamergクラスターに対して Azure ポリシーを有効にする
az aks enable-addons --addons azure-policy --name videogamecluster --resource-group videogamerg