Exercício - Habilitar a Política do Azure para Serviços Kubernetes do Azure

  • 45 minutos

Imagine que você deseja criar um cluster do Serviço Kubernetes do Azure (AKS) para um novo videogame no qual sua equipe está trabalhando. Você gostaria de experimentar usar as Políticas do Azure para governar esse cluster. Com base em sua pesquisa, você decide começar com as seguintes políticas:

  • Permitir imagens apenas de registros confiáveis no cluster
  • Padrões restritos de segurança do pod de cluster do Kubernetes para a iniciativa de cargas de trabalho baseadas em Linux

A primeira etapa seria criar um cluster AKS que tenha as políticas do Azure habilitadas.

Nota

Este exercício é opcional. Se quiser concluir este exercício, terá de criar uma subscrição do Azure antes de começar. Se você não tiver uma conta do Azure ou não quiser criar uma no momento, leia as instruções para entender as informações que estão sendo apresentadas.

Criar um cluster AKS com o Azure Policy e o complemento Azure Monitor

Antes de instalar o complemento Azure Policy ou habilitar qualquer um dos recursos do serviço, sua assinatura deve habilitar o provedor de recursos Microsoft.PolicyInsights .

  1. Você precisa da CLI do Azure versão 2.12.0 ou posterior instalada e configurada. Para encontrar a versão, Executar az --version. Se precisar de instalar ou atualizar, veja Instalar a CLI do Azure.
  2. Registre os provedores de recursos e visualize os recursos.

Neste exercício, usamos o Azure Cloud Shell para executar os comandos. Sinta-se à vontade para usar um terminal de sua escolha para este exercício. Para começar, inicie sessão no seu portal do Azure

Configuração do ambiente

  1. Aceda ao portal do Azure.

    Portal do Azure

  2. Selecione o ícone do Cloud Shell na parte superior da tela, à direita da barra de pesquisa

    captura de tela do portal do Azure na tela de criação do shell de nuvem.

  3. Selecione a Subscrição adequada e, em seguida, selecione Criar armazenamento.

  4. No canto superior esquerdo do Cloud Shell resultante, selecione PowerShell e altere-o para Bash. Se ele já estiver mostrando o Bash, você pode pular esta etapa

  5. Registre os provedores de recursos e visualize os recursos inserindo o seguinte comando no Cloud Shell.

    # Log in first with az login if you're not using Cloud Shell
# Provider register: Register the Azure Policy provider
az provider register --namespace Microsoft.PolicyInsights

  6. Quando essas etapas de pré-requisito forem concluídas, use as instruções na nota anterior para instalar o complemento Política do Azure no cluster AKS que você deseja gerenciar. Na próxima seção, criamos um novo cluster e habilitamos o complemento Azure Policy.

Criar cluster AKS e habilitar o complemento Azure Policy

Agora que temos o provedor registrado, podemos criar um novo grupo de recursos e criar um cluster AKS dentro desse grupo.

  1. Criar um grupo de recursos

    az group create --location eastus --name videogamerg

  2. Criar cluster AKS usando as configurações padrão

    Nota

    Para cargas de trabalho de produção, convém personalizar ainda mais a criação do cluster para garantir que ele atenda aos seus requisitos de segurança e governança. Vamos com um cluster simples apenas para fins de formação.

    az aks create --name videogamecluster --resource-group videogamerg

  3. Habilitar políticas do Azure para o cluster

    az aks enable-addons --addons azure-policy --name videogamecluster --resource-group videogamerg