Ingebouwd beleid voor AKS
Nu u een AKS-cluster (Azure Kubernetes Service) hebt gemaakt waarvoor de beleidsinvoegtoepassing is ingeschakeld, moet u de beleidsdefinities vinden die u aan uw omgeving wilt toewijzen. In deze sectie leert u hoe u beleidsregels kunt detecteren en in de volgende sectie doorloopt u een voorbeeld van het toewijzen van deze beleidsregels.
Typen Azure-beleid voor AKS
Er zijn twee typen Azure-beleidsregels die kunnen worden toegepast op AKS: clusterbeleid of workloadbeleid.
Clusterbeleid heeft betrekking op het cluster zelf, niet op de werkbelasting die wordt uitgevoerd op het cluster. U configureert dit beleid om clusterconfiguratie af te dwingen. Voorbeelden van deze beleidsregels zijn geautoriseerde IP-bereiken die moeten worden gedefinieerd voor Kubernetes Services en op rollen gebaseerd toegangsbeheer (RBAC) moeten worden gebruikt in Kubernetes Services.
Het workloadbeleid heeft betrekking op de toepassingen die in uw cluster worden uitgevoerd. Workloadbeleid wordt gebruikt om configuratie af te dwingen in het Kubernetes-cluster. Deze beleidsregels zijn afhankelijk van het Azure-beleid voor de Kubernetes-invoegtoepassing om correct te functioneren. Voorbeelden van deze beleidsregels zijn Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken en Kubernetes-clusterpods mogen alleen toegestane volumetypen gebruiken.
Het is handig om op deze manier na te denken over het Azure-beleid voor Kubernetes: Hiermee kunt u onderscheid maken tussen beleidsregels die van invloed zijn op het cluster en de toepassing die op het cluster wordt uitgevoerd. Het is de moeite waard om te vermelden dat deze verschillende beleidstypen niet worden onderscheiden tijdens de beleidsdetectie.
Ingebouwd Azure-beleid voor Kubernetes detecteren
Er zijn twee manieren om ingebouwde Azure-beleidsregels voor Kubernetes te detecteren:
- Gebruik de Azure-documentatie, waarin de ingebouwde beleidsregels worden weergegeven.
- Gebruik de blade Azure Policy in Azure Portal, ga naar definities en filter op de categorie Kubernetes.
U kunt een of meer van deze beleidsdefinities toewijzen aan uw beheergroepen, abonnementen of resourcegroepen. In de volgende les volgt u een oefening waarmee u dit kunt doen.
Beleidsinitiatief: Beveiligingsbasislijnstandaarden voor Kubernetes-clusterpods voor linux-workloads
Azure Policy voor Kubernetes heeft ook meerdere beleidsinitiatieven. Een beleidsinitiatief is een verzameling beleidsdefinities. Twee van de initiatieven voor Kubernetes zijn:
- Basislijnstandaarden voor het beveiligingsbeleid voor Kubernetes-clusterpods voor op Linux gebaseerde workloads
- Beperkte standaarden voor het beveiligingsbeleid voor Kubernetes-clusterpods voor op Linux gebaseerde workloads
De basislijnversie bevat vijf beleidsdefinities die zijn gericht op het bieden van een beveiligingsbasislijn voor uw Kubernetes-workloads. De beperkte versie bevat in totaal acht beleidsdefinities voor meer beveiligingsomgevingen.
U kunt deze initiatieven toewijzen aan uw Azure-beheergroepen, abonnementen of resourcegroepen met een AKS-cluster om een consistente beveiligingsbasislijn af te dwingen.