Políticas internas para o AKS

Concluído

Agora que você criou um cluster do AKS (Serviço de Kubernetes do Azure) com o complemento de política habilitado, é necessário encontrar as definições de política que você deseja atribuir ao ambiente. Nesta seção, você aprende a como descobrir as políticas e na próxima seção há o passo a passo de um exemplo de como atribui-las.

Tipos de políticas do Azure para o AKS

Há dois tipos de políticas do Azure que podem ser aplicadas ao AKS: políticas de cluster ou políticas de carga de trabalho.

As políticas de cluster abrangem o próprio cluster, não a carga de trabalho em execução no cluster. Você configuraria essas políticas para impor a configuração do cluster. Exemplos dessas políticas incluem intervalos de IP autorizados devem ser definidos nos Serviços de Kubernetes e o RBAC (Controle de Acesso Baseado em Função) deve ser usado nos serviços de Kubernetes.

As políticas de carga de trabalho abrangem os aplicativos em execução no cluster. As políticas de carga de trabalho são usadas para impor a configuração dentro do cluster do Kubernetes. Essas políticas dependem da política do Azure para o complemento do Kubernetes funcionar corretamente. Exemplos dessas políticas incluem contêineres de cluster do Kubernetes só devem usar imagens permitidas e Pods de cluster do Kubernetes só devem usar tipos de volume permitidos.

É útil pensar nas políticas do Azure para Kubernetes dessa maneira: Elas permitem que você diferencie entre as políticas que afetam o cluster em relação ao aplicativo em execução no cluster. Vale a pena observar que esses tipos de política diferentes não são diferenciados durante a descoberta de política.

Como descobrir as políticas internas do Azure para Kubernetes

Há duas maneiras de descobrir as políticas internas do Azure para Kubernetes:

• Usar a Documentação do Azure, que detalha as políticas integradas.
• Use a folha política do Azure no portal do Azure, acesse as definições e filtre na categoria Kubernetes.

Você pode atribuir uma ou várias dessas definições de política para seus grupos de gerenciamento, assinaturas ou grupos de recursos. Na próxima unidade, você acompanhará um exercício explicando como fazer isso.

Iniciativa de política: padrões de linha de base de segurança do pod do cluster Kubernetes para cargas de trabalho baseadas no Linux

O Azure Policy para Kubernetes também tem várias iniciativas de política. Uma iniciativa de política é uma coleção de definições de política. Duas das iniciativas para Kubernetes são:

• Padrões de linha de base de segurança do pod do cluster do Kubernetes para cargas de trabalho baseadas no Linux
• Padrões restritos de segurança do pod do cluster do Kubernetes para cargas de trabalho baseadas no Linux

A versão de linha de base inclui cinco definições de política focadas no fornecimento de uma linha de base de segurança para suas cargas de trabalho do Kubernetes. A versão restrita inclui um total de oito definições de política para mais ambientes restritos de segurança.

Você pode atribuir essas iniciativas aos grupos de gerenciamento, assinaturas ou grupos de recursos do Azure com um cluster do AKS para impor uma linha de base de segurança consistente.