Azure Policy를 사용하여 준수 상태 확인
이전 섹션에서는 기본 제공 정책과 이니셔티브를 사용하여 클러스터를 쉽게 제어하는 데 Azure 정책을 사용하는 방법을 알아보았습니다. 또한 이 정책은 기존 Pod를 종료하지 않는다는 점에도 주목했습니다. 이에 대한 조치를 취할 수 있도록 비준수 Pod를 검색하려고 합니다. 이번 연습에서는 다음을 수행하기만 합니다.
참고 항목
이 연습은 선택 사항입니다. 이 연습을 완료하려면 시작하기 전에 Azure 구독을 만들어야 합니다. Azure 계정이 없거나 지금 만들지 않으려는 경우 제시되는 정보를 이해할 수 있도록 지침을 끝까지 읽어 보세요.
Azure Portal을 사용하여 비준수 Pod 보기
Azure Portal의 정책 페이지로 이동합니다.
상단에서 ...를 클릭하여 범위를 클러스터 리소스 그룹으로 설정할 수 있습니다. 구독과 AKS(Azure Kubernetes Service) 클러스터가 있는 리소스 그룹을 선택하고 페이지 하단에서 선택을 선택합니다.
참고
비준수 Pod가 포털에 표시되는 데 몇 분 정도 걸릴 수 있습니다.
여기서는 배포한 정책 및 이니셔티브 모두에 대한 비준수 리소스가 있음을 알 수 있습니다. 리소스는 videogamerg의 Linux 기반 워크로드에 대한 Kubernetes 클러스터 Pod 보안 제한 표준 이니셔티브의 세 가지 정책을 준수하지 않습니다. 해당 이니셔티브를 선택하면 8개 정책 중 준수하지 않는 3개 정책이 표시됩니다.
Kubernetes 클러스터 컨테이너는 허용된 이미지만 사용해야 함 정책을 선택합니다. 비준수 Pod가 있는 클러스터가 표시됨
어떤 Pod가 규정을 준수하지 않는지에 대한 자세한 내용을 보려면 클러스터를 선택합니다. 여기에 규정을 준수하지 않는 특정 Pod의 이름이 표시됩니다. 규정을 준수하지 않는 배포된 첫 번째 Pod만 있음을 알 수 있습니다. 이러한 정책 페이지를 보는 것이 클러스터의 준수 상태를 감사하는 효과적인 방법이라는 것을 알 수 있습니다.
규정을 준수하지 않는 Pod 제거 및 규정 준수 다시 확인
이제 규정을 준수하지 않는 Pod를 찾았으므로 해당 Pod를 삭제할 수 있습니다. Pod가 삭제되면 정책은 정책을 준수하지 않는 향후 Pod가 배포되는 것을 방지합니다. videogamerg의 Linux 기반 워크로드에 대한 Kubernetes 클러스터 Pod 보안 제한 표준 이니셔티브는 규정을 준수하지 않는 Pod를 식별할 수 있지만 Pod가 배포되지 않도록 한다는 의미를 감사하도록 설정됩니다. Pod가 해당 이니셔티브를 준수하도록 하는 것은 이 과정의 범위를 벗어나므로 거부 효과를 갖도록 설정한 정책을 수정하는 데 초점을 맞춥니다.
Cloud Shell을 다시 열고 비준수 배포를 삭제합니다.
kubectl delete deployment simple-nginx
변경 내용이 포털에 반영되려면 최대 45분이 걸릴 수 있습니다. 대기한 후 정책으로 돌아가서 정책 아래에 여전히 비준수 Pod가 있는지 확인합니다. 이제 클러스터가 정책을 준수하고 있음을 알 수 있습니다.
요약
이 단원에서는 Azure Portal을 사용하여 정책을 준수하지 않는 Pod를 식별하는 방법을 알아보았습니다. 그런 다음 정책 중 하나를 준수하지 않는 Pod를 삭제했습니다. 배포 문제를 해결하고 거부 정책으로 인해 배포되지 않는 Pod를 식별하는 방법도 알아보았습니다. Azure Portal을 사용하여 비준수 리소스와 해당 리소스가 준수하지 않는 정책을 확인하는 방법을 알아보았습니다. 처음 만든 비준수 Pod를 삭제하여 문제 중 하나를 해결했습니다. 이제 정책과 이니셔티브를 추가하고 테스트하는 방법을 알았으므로 Kubernetes에 내장된 다른 정책을 살펴보고 비즈니스 요구 사항에 적합한 정책을 찾을 수 있습니다.