Kubernetes-clusterbeheer

Governance verwijst naar de mogelijkheid van een organisatie om regels af te dwingen en te valideren om naleving van bedrijfsstandaarden te garanderen. Governance helpt organisaties risico's te beperken, te voldoen aan bedrijfsstandaarden en externe regelgeving en onderbreking van acceptatie of innovatie te minimaliseren.

Governance omvat planningsinitiatieven, het instellen van strategische prioriteiten en het gebruik van mechanismen en processen om toepassingen en resources te beheren. Voor Kubernetes-clusters in een cloudomgeving betekent governance het implementeren van beleid in Kubernetes-clusters en de toepassingen die in deze clusters worden uitgevoerd.

Kubernetes-governance omvat zowel de cloudomgeving als de clusterimplementatie-infrastructuur, en de clusters zelf en hun toepassingen. Deze handleiding is gericht op governance binnen Kubernetes-clusters. In het artikel wordt beschreven en vergeleken hoe Amazon Elastic Kubernetes Service (Amazon EKS) en Azure Kubernetes Service (AKS) Kubernetes-clusterbeheer beheren.

Notitie

Dit artikel maakt deel uit van een reeks artikelen die professionals helpen die bekend zijn met Amazon EKS om inzicht te krijgen in Azure Kubernetes Service (AKS).

Kubernetes-governancedimensies

Drie dimensies definiëren een consistente Kubernetes-governancestrategie:

• Doelen beschrijven de doelstellingen van het beveiligings- en nalevingsbeleid die een governancestrategie moet voldoen. Doelen geven bijvoorbeeld op welke gebruikers toegang hebben tot een Kubernetes-cluster, naamruimte of toepassing, of welke containerregisters en installatiekopieën moeten worden gebruikt in welke clusters. Het beveiligingsteam stelt deze doelen meestal in als eerste stap bij het definiëren van de governancestrategie van een bedrijf.

• Bereiken beschrijven de elementen waarop het doelbeleid van toepassing is. Bereiken moeten betrekking hebben op alle kubernetes-zichtbare onderdelen. Bereiken kunnen organisatie-eenheden zijn, zoals afdelingen, teams en groepen, of omgevingen zoals clouds, regio's of naamruimten, of beide.

• Beleidsrichtlijnen gebruiken Kubernetes-mogelijkheden om de doelregels af te dwingen binnen de opgegeven bereiken om het governancebeleid af te dwingen.

Zie Kubernetes-governance, wat u moet weten voor meer informatie.

Governance in EKS en AKS

• Klanten van Amazon Web Services (AWS) gebruiken meestal Kyverno-, Gatekeeperof andere oplossingen van derden om een governancestrategie voor hun Amazon EKS-clusters te definiëren en te implementeren. De GitHub-opslagplaats aws-eks-best-practices/policies bevat een verzameling voorbeeldbeleidsregels voor Kyverno en Gatekeeper.
• Azure-klanten kunnen ook Kyverno of Gatekeeper gebruiken en de Azure Policy for Kubernetes-invoegtoepassing gebruiken om Gatekeeper uit te breiden voor een AKS-governancestrategie .

Gatekeeper

De Cloud Native Computing Foundation (CNCF) sponsort de opensource Gatekeeper Policy Controller voor Kubernetes voor het afdwingen van beleid in Kubernetes-clusters. Gatekeeper is een Kubernetes-toegangscontroller die beleid afdwingt dat is gemaakt met OpA (Open Policy Agent), een beleidsengine voor algemeen gebruik.

OPA maakt gebruik van een declaratieve taal op hoog niveau, Rego genoemd, om beleid te maken waarmee pods van tenants op afzonderlijke exemplaren of op verschillende prioriteiten kunnen worden uitgevoerd. Zie de OPA Gatekeeper-bibliotheek voor een verzameling algemene OPA-beleidsregels.

Kyverno

CNCF sponsort ook het opensource-project Kyverno voor het afdwingen van beleid in Kubernetes-clusters. Kyverno is een systeemeigen Kubernetes-beleidsengine die Kubernetes-resourceconfiguraties kan valideren, muteren en genereren met beleid.

Met Kyverno kunt u beleidsregels definiëren en beheren als Kubernetes-resources zonder een nieuwe taal te gebruiken. Met deze methode kunt u vertrouwde hulpprogramma's zoals kubectl, git en kustomize gebruiken om beleidsregels te beheren.

Kyverno gebruikt kustomize-style overlays voor validatie, ondersteunt JSON-patch en strategische samenvoegpatch voor mutatie en kan resources klonen in naamruimten op basis van flexibele triggers. U kunt beleidsregels afzonderlijk implementeren met behulp van hun YAML-manifesten of het pakket en implementeren met behulp van Helm-grafieken.

Kyverno kan, in tegenstelling tot Gatekeeper of Azure Policy voor AKS, nieuwe Kubernetes-objecten genereren met beleid, niet alleen bestaande resources valideren of dempen. U kunt bijvoorbeeld een Kyverno-beleid definiëren om het maken van een standaardnetwerkbeleid voor elke nieuwe naamruimte te automatiseren.

Zie de officiële Kyverno-installatiehandleiding voor meer informatie. Zie de kyverno-beleidsbibliotheek voor een lijst met kant-en-klare of aanpasbare beleidsregels. Raadpleeg de documentatie voor het oplossen van problemen (zoals APIServer mislukte webhook-aanroepen).

Desgewenst kunt u de implementatie van Kyverno van de Kubernetes Pod Security Standards (PSS) implementeren als Kyverno-beleid. De PSS-besturingselementen bieden een startpunt voor algemene operationele beveiliging van Kubernetes-clusters.

Azure Policy-invoegtoepassing voor AKS

De Azure Policy-invoegtoepassing voor AKS- breidt Gatekeeper v3, een -toegangscontrollerwebhook voor Open Policy Agent (OPA) uit om afdwinging en beveiliging op schaal toe te passen op uw clusteronderdelen op een gecentraliseerde, consistente manier. Clusteronderdelen omvatten pods, containers en naamruimten. Azure Policy maakt gecentraliseerd nalevingsbeheer en rapportage mogelijk voor meerdere Kubernetes-clusters vanaf één locatie. Deze mogelijkheid maakt het beheer en beheer van omgevingen met meerdere clusters efficiënter dan het implementeren en beheren van Kyverno of Gatekeeper voor elk cluster.

De Azure Policy-invoegtoepassing voor AKS- voert de volgende functies uit:

• Er wordt gecontroleerd op beleidstoewijzingen voor het cluster met de Azure Policy-service.
• Het implementeert beleidsdefinities in het cluster als beperkingssjabloon en aangepaste beperkingsresources.
• Het rapporteert controle- en nalevingsgegevens terug naar de Azure Policy-service.

De Azure Policy-invoegtoepassing is compatibel met zowel AKS- als Kubernetes--clusteromgevingen met Azure Arc. Raadpleeg de documentatie over Azure Policy voor Kubernetes-clusters voor meer informatie. Als u de invoegtoepassing wilt installeren op nieuwe en bestaande clusters, volgt u de instructies in De Azure Policy-invoegtoepassing voor AKS installeren.

Zodra u de Azure Policy-invoegtoepassing voor AKS hebt geïnstalleerd, kunt u afzonderlijke beleidsdefinities of groepen beleidsdefinities die initiatieven worden genoemd, toepassen op uw AKS-cluster. U kunt ingebouwde Azure Policy-beleids- en initiatiefdefinities afdwingen vanaf het begin of uw eigen aangepaste beleidsdefinities maken en toewijzen met behulp van de stappen die worden beschreven in Een aangepaste beleidsdefinitie maken en toewijzen. De Azure Policy ingebouwde beveiligingsbeleid is ontworpen om het beveiligingspostuur van uw AKS-cluster te verbeteren, organisatiestandaarden af te dwingen en naleving op schaal te beoordelen.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Belangrijkste auteurs:

• Paulo Salvatori | Principal Service Engineer
• Martin Gjoshevski | Senior Service Engineer

Andere Inzenders:

• Chad Kittel | Principal Software Engineer
• Ed Price | Senior Content Program Manager
• Theano Petersen | Technische schrijver

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

• AKS voor Amazon EKS-professionals
• Kubernetes-identiteits- en toegangsbeheer
• Kubernetes-bewaking en logboekregistratie
• Netwerktoegang tot Kubernetes beveiligen
• Opslagopties voor een Kubernetes-cluster
• Kostenbeheer voor Kubernetes
• Beheer van Kubernetes-knooppunten en -knooppuntgroepen

Verwante resources

• Beleid voor Kubernetes
• Uw AKS-cluster beveiligen met Azure Policy
• Governancedisciplines voor AKS
• OPA Gatekeeper: Beleid en governance voor Kubernetes