Ćwiczenie — włączanie usługi Azure Policy dla usług Azure Kubernetes Services

  • 45 min

Załóżmy, że chcesz utworzyć klaster usługi Azure Kubernetes Service (AKS) dla nowej gry wideo, nad którą pracuje twój zespół. Chcesz wypróbować użycie zasad platformy Azure, aby zarządzać tym klastrem. Na podstawie badań decydujesz się rozpocząć od następujących zasad:

  • Zezwalaj na obrazy tylko z zaufanych rejestrów do klastra
  • Inicjatywa z ograniczeniami zabezpieczeń zasobników klastra Kubernetes dla obciążeń opartych na systemie Linux

Pierwszym krokiem jest utworzenie klastra usługi AKS z włączonymi zasadami platformy Azure.

Uwaga

To ćwiczenie jest opcjonalne. Jeśli chcesz wykonać to ćwiczenie, przed rozpoczęciem musisz utworzyć subskrypcję platformy Azure. Jeśli nie masz konta platformy Azure lub nie chcesz go tworzyć w tej chwili, możesz zapoznać się z instrukcjami, aby zrozumieć prezentowane informacje.

Tworzenie klastra usługi AKS przy użyciu usługi Azure Policy i dodatku usługi Azure Monitor

Przed zainstalowaniem dodatku usługi Azure Policy lub włączenia dowolnej funkcji usługi subskrypcja musi włączyć dostawcę zasobów Microsoft.Policy Szczegółowe informacje.

  1. Potrzebny jest interfejs wiersza polecenia platformy Azure w wersji 2.12.0 lub nowszej, zainstalowany i skonfigurowany. Aby znaleźć wersję, uruchom polecenie az --version. Jeśli konieczna będzie instalacja lub uaktualnienie interfejsu, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
  2. Zarejestruj dostawców zasobów i funkcje w wersji zapoznawczej.

W tym ćwiczeniu użyjemy usługi Azure Cloud Shell do uruchamiania poleceń. W tym ćwiczeniu możesz użyć wybranego terminalu. Aby rozpocząć, zaloguj się do witryny Azure Portal

Konfigurowanie środowiska

  1. Przejdź do portalu Azure Portal.

    Witryna Azure Portal

  2. Wybierz ikonę usługi Cloud Shell w górnej części ekranu po prawej stronie paska wyszukiwania

    zrzut ekranu witryny Azure Portal na ekranie tworzenia usługi Cloud Shell.

  3. Wybierz odpowiednią subskrypcję, a następnie wybierz pozycję Utwórz magazyn.

  4. W lewym górnym rogu wynikowej usługi Cloud Shell wybierz pozycję PowerShell i zmień ją na Bash. Jeśli jest już wyświetlana powłoka Bash, możesz pominąć ten krok

  5. Zarejestruj dostawców zasobów i funkcje w wersji zapoznawczej, wprowadzając następujące polecenie w usłudze Cloud Shell.

    # Log in first with az login if you're not using Cloud Shell
# Provider register: Register the Azure Policy provider
az provider register --namespace Microsoft.PolicyInsights

  6. Po wykonaniu tych kroków wymagań wstępnych użyj instrukcji z poprzedniej notatki, aby zainstalować dodatek usługi Azure Policy w klastrze usługi AKS, którym chcesz zarządzać. W następnej sekcji utworzymy nowy klaster i włączymy dodatek usługi Azure Policy.

Tworzenie klastra usługi AKS i włączanie dodatku usługi Azure Policy

Po zarejestrowaniu dostawcy możemy utworzyć nową grupę zasobów i utworzyć klaster usługi AKS w ramach tej grupy.

  1. Tworzenie grupy zasobów

    az group create --location eastus --name videogamerg

  2. Tworzenie klastra usługi AKS przy użyciu ustawień domyślnych

    Uwaga

    W przypadku obciążeń produkcyjnych należy jeszcze bardziej dostosować tworzenie klastra, aby upewnić się, że spełnia wymagania dotyczące zabezpieczeń i ładu. Zamierzamy używać prostego klastra wyłącznie do celów szkoleniowych.

    az aks create --name videogamecluster --resource-group videogamerg

  3. Włączanie zasad platformy Azure dla klastra

    az aks enable-addons --addons azure-policy --name videogamecluster --resource-group videogamerg