Zarządzanie platformą Kubernetes z włączoną usługą Azure Arc przy użyciu usług Azure Policy i Azure Monitor
Usługa Azure Arc centralizuje i usprawnia zarządzanie, włączając szereg usług platformy Azure, takich jak Azure Policy i Azure Monitor.
W tej lekcji dowiesz się, jak używać tych usług do zarządzania klastrami Kubernetes z włączoną usługą Azure Arc i monitorowania ich.
Azure Policy
Usługa Azure Policy używa reguł deklaratywnych na podstawie właściwości docelowych typów zasobów, w tym klastrów Kubernetes i ich składników. Te reguły tworzą definicje zasad, które administratorzy mogą stosować za pomocą przypisywania zasad do grup zasobów, subskrypcji lub grup zarządzania.
Usługa Azure Policy dla platformy Kubernetes
Dzięki usłudze Azure Policy dla platformy Kubernetes firmy mogą wymuszać jednolite reguły ładu we wszystkich klastrach Kubernetes z obsługą usługi Azure Arc w celu wykrywania wszelkich niezgodności ze standardami organizacyjnymi.
Rozszerzenie Azure Policy dla Kubernetes z obsługą Arc wykonuje następujące działania:
- Okresowo sprawdza przypisania Azure Policy, które są skierowane na klastera Kubernetes obsługującego zasobniki kontrolera wejściowego.
- Wdraża definicje zasad w klastrze jako zasoby niestandardowe stosujące ograniczenia, które są wymuszane przez kontroler dostępu.
- Raportuje dane audytu i zgodności do usługi Azure Policy, dzięki czemu stan można przeglądać za pośrednictwem portalu Azure, podobnie jak dla innych zasobów z obsługą platformy Azure lub Azure Arc.
Wbudowane definicje zasad dla Kubernetes obsługiwanego przez Arc
Usługa Azure Policy oferuje wiele wbudowanych definicji platformy Kubernetes z obsługą usługi Azure Arc, w tym następujące często używane definicje zasad:
| Nazwa zasad | Opis zasad |
|---|---|
| klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | Zapobiega tworzeniu uprzywilejowanych kontenerów w klastrze. |
| klastry Kubernetes powinny być dostępne tylko za pośrednictwem HTTPS | Gwarantuje, że protokół HTTPS jest używany na potrzeby połączeń przychodzących. |
| usługi klastra Kubernetes powinny używać tylko dozwolonych zewnętrznych adresów IP | Gwarantuje, że są używane tylko dozwolone zewnętrzne adresy IP. |
| limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | Wymusza limity zasobów procesora CPU i pamięci kontenera. |
| Usługi klastra Kubernetes powinny nasłuchiwać wyłącznie na dozwolonych portach | Ogranicza usługi do nasłuchiwania tylko na dozwolonych portach. |
| kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | Ogranicza obrazy, które można używać do wdrażania kontenerów, jedynie do obrazów z zaufanych rejestrów. |
| kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | Ogranicza możliwości w celu zmniejszenia powierzchni ataku kontenerów. |
| Pody klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | Ogranicza dostęp dla zasobników do sieci hosta i dozwolonego zakresu portów hosta w klastrze. |
Dostępnych jest wiele innych wbudowanych definicji zasad. Aby wyświetlić wszystkie definicje zasad, wyszukaj i wybierz pozycję Zasady w witrynie Azure Portal, wybierz pozycję Definicje w menu po lewej stronie, a następnie wybierz pozycję Kubernetes na liście rozwijanej Kategoria .
Implementowanie usługi Azure Policy dla platformy Kubernetes
Aby zaimplementować usługę Azure Policy dla platformy Kubernetes w połączonych klastrach, należy zainstalować rozszerzenie usługi Azure Policy. W przypadku platformy Kubernetes z obsługą usługi Azure Arc proces składa się z następujących kroków wysokiego poziomu.
- Zaloguj się do dzierżawy Microsoft Entra przy użyciu konta, które ma uprawnienia do zarządzania zasobem Kubernetes z obsługą Arc.
- Utwórz wystąpienie rozszerzenia Azure Policy w klastrze.
- Utwórz przypisanie zasad przy użyciu jednej z definicji zasad specyficznych dla platformy Kubernetes.
Po utworzeniu przypisania zasad, usługa Azure Policy rozpoczyna sprawdzanie zgodności.
Azure Monitor
Usługa Azure Monitor rozszerza kompleksową funkcjonalność zarządzania opartą na chmurze poza platformę Azure na lokalne centra danych i dostawców usług w chmurze innych niż Microsoft. Monitor zbiera i monitoruje metryki, dzienniki aktywności, diagnostyczne oraz zdarzenia z usług platformy Azure, zasobów obsługiwanych przez Arc oraz lokalnych centrów danych i zasobów w chmurze innych firm.
Funkcje interfejsu usługi Azure Monitor obejmują:
- Pulpity nawigacyjne i skoroszyty.
- Analiza metryk za pomocą narzędzi, takich jak Eksplorator metryk lub Power BI.
- Typowe grupy akcji, które wyznaczają akcje wyzwalane przez alerty i adresatów alertów.
Szczegółowe informacje o kontenerze usługi Azure Monitor
Szczegółowe informacje o kontenerze usługi Azure Monitor zapewniają kompleksowy wgląd w stan środowiska Kubernetes, co pomaga zachować stabilność operacyjną i ciągłość działania. Metryki są zbierane na kontrolerach, węzłach i kontenerach w środowiskach Kubernetes, w tym na platformie Kubernetes z włączoną usługą Azure Arc.
Szczegółowe informacje o kontenerze zapewniają następujące możliwości:
- Zidentyfikuj kontenery uruchomione w każdym węźle klastra i ich średnie wykorzystanie procesora i pamięci, aby ułatwić wykrywanie wąskich gardeł zasobów.
- Zidentyfikuj kontenery uruchomione w poszczególnych zasobnikach, aby ułatwić śledzenie ogólnej wydajności zasobnika.
- Oceń wykorzystanie zasobów obciążeń uruchomionych na hoście, które nie są powiązane ze standardowymi procesami obsługującymi zasobnik.
- Porównaj zachowanie klastra pod średnim i najcięższym obciążeniem, aby pomóc ocenić potrzeby pojemności i oszacować maksymalne obciążenie klastra.
- Skonfiguruj alerty, aby proaktywnie powiadamiać o przekroczeniu akceptowalnych progów lub zmianie stanu kondycji klastra.
Monitorowanie klastrów Kubernetes z obsługą usługi Azure Arc
Usługa Azure Monitor Container Insights korzysta z konteneryzowanej wersji agenta usługi Azure Monitor dla systemu Linux. Ten agent działa w monitorowanym klastrze w celu zbierania metryk wydajności i dzienników z węzłów klastra i kontenerów. Agent współdziała bezpośrednio z interfejsem API metryk platformy Kubernetes i przekazuje zebrane dane na platformę Azure.
Proces implementowania usługi Azure Monitor Container Insights dla wdrożeń platformy Kubernetes z włączoną usługą Azure Arc składa się z następujących kroków wysokiego poziomu.
- Zaloguj się do dzierżawy Microsoft Entra przy użyciu konta z uprawnieniami do zarządzania zasobem Kubernetes obsługującym Arc.
- Zidentyfikuj identyfikator obszaru roboczego usługi Log Analytics, którego chcesz użyć.
- Utwórz wystąpienie rozszerzenia usługi Azure Monitor Container Insights w klastrze przy użyciu identyfikatora obszaru roboczego usługi Log Analytics.