Gerenciar o Kubernetes habilitado para Azure Arc usando o Azure Policy e o Azure Monitor
O Azure Arc centraliza e simplifica o gerenciamento habilitando uma variedade de serviços do Azure, como a Política do Azure e o Azure Monitor.
Nesta unidade, você aprenderá a usar esses serviços para gerenciar e monitorar clusters Kubernetes habilitados para Azure Arc.
Política do Azure
A Política do Azure usa regras declarativas com base em propriedades de tipos de recursos de destino, incluindo clusters Kubernetes e seus componentes. Essas regras formam definições de política, que os administradores podem aplicar por meio da atribuição de políticas a grupos de recursos, assinaturas ou grupos de gerenciamento.
Política do Azure para Kubernetes
Com a Política do Azure para Kubernetes, as empresas podem impor regras de governança uniformes em todos os seus clusters Kubernetes habilitados para Azure Arc para detetar qualquer não conformidade com os padrões organizacionais.
A extensão da Política do Azure para Kubernetes com suporte do Arc executa as seguintes ações:
- Verifica periodicamente as atribuições de Política do Azure destinadas ao cluster Kubernetes que hospeda os pods do controlador de admissão.
- Implanta definições de política no cluster como recursos personalizados que aplicam restrições, as quais são impostas pelos pods do controlador de admissão.
- Relata dados de auditoria e conformidade para a Política do Azure, para que você possa revisar o status por meio do portal do Azure como para outros recursos habilitados para Azure ou Azure Arc.
Definições de política incorporadas para Kubernetes com Arc habilitado
O Azure Policy oferece muitas definições integradas para Kubernetes com suporte para Azure Arc, incluindo as seguintes definições de política comumente usadas:
| Nome da política | Descrição da política |
|---|---|
| cluster Kubernetes não deve permitir contêineres privilegiados | Impede a criação de contêineres privilegiados em um cluster. |
| Clusters Kubernetes devem ser acessíveis somente através de HTTPS | Garante que o HTTPS seja usado para conexões de entrada. |
| serviços de cluster do Kubernetes só devem usar IPs externos permitidos | Garante que apenas os endereços IP externos permitidos sejam usados. |
| Os contêineres do cluster Kubernetes não devem ter limites de recursos de CPU e memória que excedam os limites especificados | Impõe limites de recursos de CPU e memória do contêiner. |
| Serviços de cluster do Kubernetes devem escutar somente nas portas permitidas | Restringe os serviços para ouvir apenas nas portas permitidas. |
| contêineres de cluster do Kubernetes só devem usar imagens permitidas | Restringe as imagens que podem ser usadas para implantar contêineres apenas a imagens de registros confiáveis. |
| contêineres de cluster do Kubernetes só devem usar recursos permitidos | Restringe as capacidades para reduzir a superfície de ataque dos contentores. |
| Os pods do cluster do Kubernetes só devem usar a rede do host aprovada e a gama de portas | Restringe o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster. |
Estão disponíveis muitas outras definições de política incorporadas. Para exibir todas as definições de política, procure e selecione de Política no portal do Azure, selecione Definições no menu à esquerda e selecione do Kubernetes na lista suspensa Categoria.
Implementar a Política do Azure para Kubernetes
Para implementar a Política do Azure para Kubernetes em clusters conectados, você precisa instalar a extensão da Política do Azure. Para o Kubernetes habilitado para Azure Arc, o processo consiste nas seguintes etapas de alto nível.
- Entre no inquilino do Microsoft Entra com uma conta que tenha permissões para gerir o recurso Kubernetes compatível com Arc.
- Crie uma instância de extensão da Política do Azure no cluster.
- Crie uma atribuição de política usando uma das definições de política específicas do Kubernetes.
Depois que a atribuição de política é criada, a Política do Azure começa a verificar a conformidade.
Azure Monitor
O Azure Monitor estende a funcionalidade abrangente de gerenciamento baseado em nuvem além do Azure para datacenters locais e provedores de nuvem que não são da Microsoft. O Monitor coleta e monitora métricas, logs de atividade e diagnóstico e eventos dos serviços do Azure, recursos habilitados para Arc e datacenter local e recursos de nuvem de terceiros.
Os recursos da interface do Azure Monitor incluem:
- Painéis e pastas de trabalho.
- Análise de métricas com ferramentas como o Metrics Explorer ou o Power BI.
- Grupos de ação comuns que designam ações acionadas por alertas e destinatários de alertas.
Azure Monitor Container insights
As informações do Azure Monitor Container fornecem informações abrangentes sobre o estado do ambiente Kubernetes, ajudando a manter a estabilidade operacional e a continuidade dos negócios. As métricas são recolhidas em controladores, nodes e contentores em ambientes Kubernetes, incluindo Kubernetes com suporte para Azure Arc.
O Container insights fornece os seguintes recursos:
- Identifique os contêineres em execução em cada nó de cluster e sua utilização média de processador e memória, para ajudar a detetar gargalos de recursos.
- Identifique os contêineres em execução em pods individuais para ajudá-lo a acompanhar o desempenho geral do pod.
- Avalie a utilização de recursos de cargas de trabalho em execução no host que não estão relacionadas aos processos padrão que suportam o pod.
- Compare o comportamento do cluster sob cargas médias e mais pesadas, para ajudar a avaliar as necessidades de capacidade e estimar a carga máxima que o cluster pode suportar.
- Configure alertas para avisá-lo de forma proativa quando o uso dos recursos exceder os limites aceitáveis ou quando um estado de saúde for alterado no cluster.
Monitorizar clusters Kubernetes habilitados para Azure Arc
O Azure Monitor Container insights depende de uma versão em contêiner do Azure Monitor Agent for Linux. Esse agente é executado no cluster monitorado para coletar métricas de desempenho e logs de nós e contêineres do cluster. O agente interage diretamente com a API de métricas do Kubernetes e carrega os dados coletados no Azure.
O processo para implementar o Azure Monitor Container insights em implementações de Kubernetes com Azure Arc consiste nos seguintes passos principais.
- Entre no locatário do Microsoft Entra com uma conta que tenha permissões para gerenciar o recurso Kubernetes habilitado para Arc.
- Identifique o ID do espaço de trabalho do Log Analytics que você deseja usar.
- Crie uma instância de extensão do Azure Monitor Container insights no cluster, usando a ID do espaço de trabalho do Log Analytics.