Verificar o status de conformidade usando a Política do Azure
Na seção anterior, você viu como as políticas do Azure podem ser usadas para controlar facilmente seu cluster usando uma Política e Iniciativa interna. Também observámos que a política não termina os pods que já estão em funcionamento. Queremos descobrir pods não conformes para podermos tomar medidas em relação a eles. Neste exercício, fazemos exatamente isso.
Observação
Este exercício é opcional. Se quiser concluir este exercício, terá de criar uma subscrição do Azure antes de começar. Se você não tiver uma conta do Azure ou não quiser criar uma no momento, leia as instruções para entender as informações que estão sendo apresentadas.
Usando o portal do Azure para ver pods não compatíveis
Vá para a página Política no portal Azure.
Na parte superior, você pode definir o escopo para seu grupo de recursos de cluster clicando no .... Selecione a Assinatura e o grupo de recursos onde o cluster do Serviço Kubernetes do Azure (AKS) está instalado e escolha Selecionar na parte inferior da página.
Observação
Pode levar alguns minutos para que os pods não compatíveis apareçam no portal.
Aqui vemos que temos recursos não conformes tanto para a Política quanto para a Iniciativa que implantamos. Os recursos não estão em conformidade com três das políticas dos padrões restritos de segurança de pods do cluster Kubernetes para cargas de trabalho baseadas em Linux, no âmbito da iniciativa videogamerg. A seleção dessa iniciativa mostra quais das oito políticas são as três que não estão em conformidade.
Selecione a política Política: Contentores do cluster Kubernetes devem usar apenas imagens permitidas. Você vê o cluster que tem o pod não conforme nele
Selecione o cluster para obter mais detalhes sobre qual pod não está em conformidade. Aqui você vê o nome do pod específico que não está em conformidade. Você vê que é apenas o primeiro pod que foi implantado que não está conforme. Você pode ver que a exibição dessas páginas de política é uma maneira eficaz de auditar o status de conformidade do seu cluster.
Remova o pod não compatível e verifique novamente a conformidade
Agora que encontramos o pod que não está em conformidade, podemos ir em frente e excluir esse pod. Depois que o pod é excluído, a Política impede que pods futuros que não estejam em conformidade com ela sejam implantados. Os padrões restritos de segurança de pods do cluster Kubernetes para cargas de trabalho baseadas em Linux para videogamerg iniciativa está definida para ser auditada, o que significa que podemos identificar pods que não estão em conformidade, mas não impediriam que os pods fossem implantados. Fazer com que os nossos pods cumpram essa iniciativa está além do escopo deste curso, então aqui nos concentramos em corrigir a Política que definimos para que o tenha o efeito de negar.
Abra o Cloud Shell novamente e exclua a implantação não compatível.
kubectl delete deployment simple-nginx
Pode levar até 45 minutos para que as alterações reflitam no portal. Depois de esperar, volte para a diretiva para ver se ainda há algum pod incompatível sob a sua gestão. Você acha que seu cluster agora está em conformidade com a Política.
Resumo
Nesta unidade, você aprendeu sobre como usar o portal do Azure para identificar pods que não estão em conformidade com suas políticas. Em seguida, você foi em frente e excluiu um pod que não estava em conformidade com uma das políticas. Você também aprendeu a resolver problemas nas suas implantações e a identificar pods que não estão a ser implantados devido a uma política de recusa. Você aprendeu como usar o portal do Azure para ver recursos não compatíveis e com quais políticas eles não estão em conformidade. Você também resolveu um dos problemas excluindo o pod incompatível que você criou primeiro. Agora que você sabe como adicionar e testar uma Política e uma Iniciativa, você pode percorrer as outras políticas incorporadas do Kubernetes para encontrar as que atendem às suas necessidades de negócios.