Gerenciar o Kubernetes habilitado para Azure Arc usando o Azure Policy e o Azure Monitor
O Azure Arc centraliza e simplifica o gerenciamento habilitando uma série de serviços do Azure, como o Azure Policy e o Azure Monitor.
Nesta unidade, você aprenderá a usar esses serviços para gerenciar e monitorar clusters do Kubernetes habilitado para Azure Arc.
Azure Policy
O Azure Policy usa regras declarativas com base em propriedades de tipos de recursos de destino, incluindo clusters do Kubernetes e os respectivos componentes. Essas regras formam definições de política, que os administradores podem aplicar por meio da atribuição de política a grupos de recursos, assinaturas ou grupos de gerenciamento.
Azure Policy para Kubernetes
Com o Azure Policy para Kubernetes, as empresas podem impor regras de governança uniformes em todos os respectivos clusters do Kubernetes habilitado para Azure Arc e detectar faltas de conformidade com os padrões organizacionais.
A extensão do Azure Policy para Kubernetes habilitado para Arc executa as seguintes ações:
- Verifica periodicamente as atribuições do Azure Policy direcionadas ao cluster do Kubernetes que hospeda os pods do controlador de admissão.
- Implanta definições de política no cluster como recursos personalizados que aplicam as restrições que são impostas pelo pods do controlador de admissão.
- Relata dados de auditoria e conformidade ao Azure Policy, permitindo examinar o status pelo portal do Azure, como outros recursos do Azure ou habilitados para Azure Arc.
Definições internas de política para o Kubernetes habilitado para Azure Arc
O Azure Policy oferece muitas definições internas para o Kubernetes habilitado para Azure Arc, incluindo as seguintes definições de política mais usadas:
| Nome de política | Descrição da política |
|---|---|
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Impede a criação de contêineres com privilégios em um cluster. |
| Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | Verifique se o HTTPS é usado para conexões de entrada. |
| Os serviços de cluster do Kubernetes devem usar somente IPs externos permitidos | Garante que apenas endereços IP externos permitidos sejam usados. |
| Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | Impõe os limites de CPU e de recursos de memória do contêiner. |
| Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | Restringe os serviços a escutar somente as portas permitidas. |
| Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | Restringe imagens que podem ser usadas para implantar contêineres somente às de Registros confiáveis. |
| Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | Restringe os recursos para reduzir a superfície de ataque de contêineres. |
| Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | Restringe o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster. |
Há várias outras definições de política internas disponíveis. Para exibir todas as definições de política, pesquise e selecione Política no portal do Azure, selecione Definições no menu à esquerda e, em seguida, selecione Kubernetes na lista suspensa Categoria.
Implementar o Azure Policy para Kubernetes
Para implementar o Azure Policy para Kubernetes em clusters conectados, você precisa instalar a extensão do Azure Policy. Para o Kubernetes habilitado para Azure Arc, o processo consiste nas etapas de alto nível a seguir.
- Entre no locatário do Microsoft Entra com uma conta que tenha permissões para gerenciar o recurso do Kubernetes habilitado para Arc.
- Crie uma instância da extensão do Azure Policy no cluster.
- Crie uma atribuição de política usando uma das definições de política específicas do Kubernetes.
Depois que a atribuição de política é criada, o Azure Policy começa a verificar a conformidade.
Azure Monitor
O Azure Monitor estende funcionalidades gerenciadas baseadas em nuvem abrangentes do Azure para datacenters locais e fornecedores de nuvem além da Microsoft. O Monitor coleta e monitora métricas e logs de atividades, além de eventos de serviços do Azure, de recursos habilitados para Arc e de recursos de nuvem de terceiros e do datacenter local.
Os recursos da interface do Azure Monitor incluem:
- Painéis e pastas de trabalho.
- Análise de métricas com ferramentas como Metrics Explorer ou Power BI.
- Grupos de ações comuns que designam ações disparadas por alertas e destinatários de alertas.
Insights de contêiner do Azure Monitor
Os insights de Contêiner do Azure Monitor fornecem insights abrangentes sobre o estado do ambiente do Kubernetes, ajudando a manter a estabilidade operacional e a continuidade dos negócios. As métricas são coletadas em controladores, nós e contêineres em ambientes do Kubernetes, incluindo o Kubernetes habilitado para Azure Arc.
Os insights do contêiner oferecem as seguintes funcionalidades:
- Identificar os contêineres em execução em cada nó de cluster e sua utilização média de processador e memória, para detectar gargalos de recursos.
- Identificar os contêineres em execução em pods individuais para acompanhar o desempenho geral do pod.
- Avaliar a utilização de recursos das cargas de trabalho em execução no host que não estão relacionadas aos processos padrão que dão suporte ao pod.
- Comparar o comportamento do cluster sob cargas médias e mais pesadas, para ajudar a avaliar as necessidades de capacidade e estimar a carga máxima que o cluster pode sustentar.
- Configurar alertas para receber notificações proativas quando a utilização de recursos exceder os limites aceitáveis ou quando ocorrer uma alteração do estado de integridade no cluster.
Monitorar clusters do Kubernetes habilitados para o Azure Arc
Os insights de contêiner do Azure Monitor dependem de uma versão conteinerizada do Agente do Azure Monitor para Linux. Esse agente é executado no cluster monitorado para coletar métricas e logs de desempenho de nós e contêineres do cluster. O agente interage diretamente com a API de Métricas do Kubernetes e carrega os dados coletados no Azure.
O processo para implementar insights de contêiner do Azure Monitor em implantações do Kubernetes habilitado para Azure Arc é composto pelas etapas de alto nível a seguir.
- Entre no locatário do Microsoft Entra com uma conta que tenha permissões para gerenciar o recurso do Kubernetes habilitado para Arc.
- Identifique a ID do workspace do Log Analytics que você deseja usar.
- Crie uma instância da extensão de insights do Contêiner do Azure Monitor no cluster usando a ID do workspace do Log Analytics.