Sprawdzanie stanu zgodności przy użyciu usługi Azure Policy

  • 3 min

W poprzedniej sekcji pokazano, jak można używać zasad platformy Azure do łatwego zarządzania klastrem przy użyciu wbudowanych zasad i inicjatywy. Zauważyliśmy również, że zasady nie kończą już istniejących zasobników. Chcemy odnaleźć niezgodne zasobniki, abyśmy mogli podejmować na nich działania. W tym ćwiczeniu to robimy.

Uwaga

To ćwiczenie jest opcjonalne. Jeśli chcesz wykonać to ćwiczenie, przed rozpoczęciem musisz utworzyć subskrypcję platformy Azure. Jeśli nie masz konta platformy Azure lub nie chcesz go tworzyć w tej chwili, możesz zapoznać się z instrukcjami, aby zrozumieć prezentowane informacje.

Wyświetlanie niezgodnych zasobników przy użyciu witryny Azure Portal

  1. Przejdź do strony Zasady w witrynie Azure Portal.

  2. U góry możesz ustawić zakres na grupę zasobów klastra, klikając pozycję .... Wybierz subskrypcję i grupę zasobów, w której znajduje się klaster usługi Azure Kubernetes Service (AKS), a następnie wybierz pozycję Wybierz w dolnej części strony.

    Zrzut ekranu przedstawiający sposób ustawiania zakresu wyświetlanych zasad.

    Uwaga

    Wyświetlenie niezgodnych zasobników w portalu może potrwać kilka minut.

    W tym miejscu widzimy, że mamy niezgodne zasoby zarówno dla wdrożonej zasady, jak i inicjatywy. Zasoby nie są zgodne z trzema zasadami z poziomu standardów z ograniczeniami zabezpieczeń zasobników klastra Kubernetes dla obciążeń opartych na systemie Linux dla inicjatywy videogamerg . Wybranie tej inicjatywy pokazuje, które z ośmiu zasad są trzy, które nie są zgodne.

    Zrzut ekranu przedstawiający zasady, z którymi zasoby nie są zgodne.

  3. Wybierz kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów Zasady. Zostanie wyświetlony klaster, który ma w nim niezgodny zasobnik

  4. Wybierz klaster, aby uzyskać więcej informacji na temat tego, który zasobnik nie jest zgodny. W tym miejscu zobaczysz nazwę określonego zasobnika, który nie jest zgodny. Zobaczysz, że jest to tylko pierwszy zasobnik, który został wdrożony, który nie jest zgodny. Wyświetlanie tych stron zasad jest skutecznym sposobem inspekcji stanu zgodności klastra.

    Zrzut ekranu przedstawiający, że tylko pierwszy wdrożony zasobnik nie był zgodny.

Usuń niezgodny zasobnik i ponownie sprawdź zgodność

Teraz, gdy znaleźliśmy zasobnik, który nie jest zgodny, możemy przejść do przodu i usunąć ten zasobnik. Po usunięciu zasobnika zasady uniemożliwiają wdrażanie przyszłych zasobników, które nie są zgodne z zasobnikami. Standardy z ograniczeniami zabezpieczeń zasobników klastra Kubernetes dla obciążeń opartych na systemie Linux dla inicjatywy videogamerg są ustawione na inspekcję, co oznacza, że możemy zidentyfikować zasobniki, które nie są zgodne, ale nie uniemożliwiłoby wdrożenia zasobników. Uzyskanie zasobników w celu zachowania zgodności z tą inicjatywą wykracza poza zakres tego kursu, więc w tym miejscu koncentrujemy się na ustalaniu zasad ustawionych na efekt odmowy .

Otwórz usługę Cloud Shell ponownie i usuń niezgodne wdrożenie.

kubectl delete deployment simple-nginx

Może upłynąć do 45 minut, aż zmiany zostaną odzwierciedlone w portalu. Po oczekiwaniu wróć do zasad, aby sprawdzić, czy nadal są pod nim jakieś niezgodne zasobniki. Okaże się, że klaster jest teraz zgodny z zasadami.

Zrzut ekranu przedstawiający, że zasób jest teraz zgodny.

Podsumowanie

W tej lekcji przedstawiono sposób używania witryny Azure Portal do identyfikowania zasobników, które nie są zgodne z zasadami. Następnie usunięto zasobnik, który nie był zgodny z jedną z zasad. Przedstawiono również sposób rozwiązywania problemów z wdrożeniami i identyfikowania zasobników, które nie są wdrażane z powodu zasad odmowy. Wiesz już, jak używać witryny Azure Portal do wyświetlenia niezgodnych zasobów i zasad, z którymi nie są zgodne. Rozwiązano również jeden z problemów, usuwając po raz pierwszy niezgodny zasobnik. Teraz, gdy wiesz, jak dodać i przetestować zasady i inicjatywę, możesz przejść przez inne wbudowane zasady dla platformy Kubernetes, aby znaleźć te, które odpowiadają potrzebom firmy.