Exercício – Habilitar o Azure Policy para os Serviços de Kubernetes do Azure

  • 45 minutos

Imagine que você deseja criar um cluster do AKS (Serviço de Kubernetes do Azure) para um novo jogo no qual sua equipe está trabalhando. Você gostaria de experimentar o uso das Políticas do Azure para controlar esse cluster. Com base em sua pesquisa, você decidiu começar com as seguintes políticas:

  • Permitir imagens somente de registros confiáveis no cluster
  • Padrões restritos de segurança de pod de cluster do Kubernetes para iniciativa de cargas de trabalho baseadas em Linux

A primeira etapa seria criar um cluster do AKS com as políticas do Azure habilitadas.

Observação

Este exercício é opcional. Para concluir este exercício, será necessário criar uma assinatura do Azure antes de começar. Se você não tiver uma conta do Azure ou não quiser criar uma no momento, poderá ler as instruções para entender as informações que estão sendo apresentadas.

Criar um cluster do AKS com o complemento do Azure Monitor e o Azure Policy

Antes de instalar o complemento do Azure Policy ou habilitar qualquer um dos recursos de serviço, sua assinatura deve habilitar o provedor de recursos Microsoft.PolicyInsights.

  1. Você precisa ter a versão 2.12.0 ou posterior da CLI do Azure instalada e configurada. Para encontrar a versão, execute az --version. Se você precisar instalar ou atualizar, confira Instalar a CLI do Azure.
  2. Registre os provedores de recursos e as versões prévias do recurso.

Neste exercício, vamos usar o Azure Cloud Shell para executar os comandos. Fique à vontade para usar um terminal de sua escolha para este exercício. Para começar, entre no portal do Azure

Configurando o ambiente

  1. Vá para o portal do Azure.

    Portal do Azure

  2. Selecione o ícone Cloud Shell na parte superior da tela à direita da barra de pesquisa

    Captura de tela do portal do Azure na tela de criação do cloud shell.

  3. Selecione a Assinatura adequada e depois selecione Criar armazenamento.

  4. No canto superior esquerdo do Cloud Shell resultante, selecione PowerShell e altere-o para Bash. Se já estiver mostrando o Bash, você pode ignorar esta etapa

  5. Registre os provedores de recursos e os recursos em versão prévia inserindo o comando a seguir no Cloud Shell.

    # Log in first with az login if you're not using Cloud Shell
# Provider register: Register the Azure Policy provider
az provider register --namespace Microsoft.PolicyInsights

  6. Depois que as etapas de pré-requisito forem concluídas, use as instruções na observação anterior para instalar o complemento do Azure Policy no cluster do AKS que você quer gerenciar. Na próxima seção, vamos criar um cluster e habilitar o complemento do Azure Policy.

Criar cluster do AKS e habilitar o complemento do Azure Policy

Agora que temos o provedor registrado, podemos criar um grupo de recursos e criar um cluster do AKS dentro desse grupo.

  1. Criar um grupo de recursos

    az group create --location eastus --name videogamerg

  2. Criar cluster do AKS usando as configurações padrão

    Observação

    Para cargas de trabalho de produção, você deseja personalizar ainda mais a criação do cluster para garantir que ele atenda aos seus requisitos de segurança e governança. Vamos usar um cluster simples apenas para fins de treinamento.

    az aks create --name videogamecluster --resource-group videogamerg

  3. Habilitar políticas do Azure para o cluster

    az aks enable-addons --addons azure-policy --name videogamecluster --resource-group videogamerg