Wbudowane zasady dla usługi AKS
Po utworzeniu klastra usługi Azure Kubernetes Service (AKS) z włączonym dodatkiem zasad należy znaleźć definicje zasad, które chcesz przypisać do środowiska. W tej sekcji dowiesz się, jak odnajdywać zasady i w następnej sekcji przedstawiono przykład przypisywania tych zasad.
Typy zasad platformy Azure dla usługi AKS
Istnieją dwa typy zasad platformy Azure, które można zastosować do usługi AKS: zasady klastra lub zasady obciążenia.
Zasady klastra obejmują sam klaster, a nie obciążenie uruchomione w klastrze. Te zasady należy skonfigurować tak, aby wymuszały konfigurację klastra. Przykłady tych zasad obejmują autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services i kontroli dostępu opartej na rolach (RBAC) powinny być używane w usługach Kubernetes Services.
Zasady obciążeń obejmują aplikacje uruchomione w klastrze. Zasady obciążeń są używane do wymuszania konfiguracji w klastrze Kubernetes. Te zasady opierają się na zasadach platformy Azure dla dodatku Kubernetes w celu poprawnego działania. Przykłady tych zasad obejmują kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów , a zasobniki klastra Kubernetes powinny używać tylko dozwolonych typów woluminów.
Warto zastanowić się nad zasadami platformy Azure dla platformy Kubernetes w ten sposób: umożliwiają one rozróżnienie między zasadami wpływającymi na klaster a aplikacją działającą w klastrze. Warto zauważyć, że te różne typy zasad nie są rozróżniane podczas odnajdywania zasad.
Odnajdywanie wbudowanych zasad platformy Azure dla platformy Kubernetes
Istnieją dwa sposoby odnajdywania wbudowanych zasad platformy Azure dla platformy Kubernetes:
- Skorzystaj z dokumentacji platformy Azure, która zawiera szczegółowe informacje o wbudowanych zasadach.
- Użyj bloku Azure Policy w witrynie Azure Portal, przejdź do definicji i odfiltruj kategorię Kubernetes.
Możesz przypisać jedną lub wiele z tych definicji zasad do grup zarządzania, subskrypcji lub grup zasobów. W następnej lekcji wykonasz ćwiczenie, które przeprowadzi Cię przez proces.
Inicjatywa zasad: Standardy punktu odniesienia zabezpieczeń zasobnika klastra Kubernetes dla obciążeń opartych na systemie Linux
Usługa Azure Policy dla platformy Kubernetes ma również wiele inicjatyw dotyczących zasad. Inicjatywa zasad to zbiór definicji zasad. Dwie inicjatywy dotyczące platformy Kubernetes to:
- Standardy punktu odniesienia zabezpieczeń zasobnika klastra Kubernetes dla obciążeń opartych na systemie Linux
- Standardy z ograniczeniami zabezpieczeń zasobników klastra Kubernetes dla obciążeń opartych na systemie Linux
Wersja punktu odniesienia zawiera pięć definicji zasad skoncentrowanych na zapewnieniu punktu odniesienia zabezpieczeń dla obciążeń platformy Kubernetes. Wersja z ograniczeniami obejmuje łącznie osiem definicji zasad dla bardziej ograniczonych zabezpieczeń środowisk.
Te inicjatywy można przypisać do grup zarządzania platformy Azure, subskrypcji lub grup zasobów za pomocą klastra usługi AKS, aby wymusić spójny punkt odniesienia zabezpieczeń.