练习 - 为 Azure Kubernetes 服务启用 Azure Policy

45 分钟

假设你要为团队正在处理的新视频游戏创建 Azure Kubernetes 服务 (AKS) 群集。你要尝试使用 Azure 策略来治理此群集。根据研究，你决定首先使用以下策略：

仅允许来自可信注册表的映像进入群集
基于 Linux 的工作负载计划的 Kubernetes 群集 Pod 安全限制标准

第一步是创建启用了 Azure 策略的 AKS 群集。

注意

本练习为选做练习。若要完成本练习，需要在开始之前创建 Azure 订阅。如果没有 Azure 帐户，或者现在不想创建帐户，则可以通读说明，以便了解所提供的信息。

创建具有 Azure Policy 和 Azure Monitor 加载项的 AKS 群集

在安装 Azure Policy 加载项或启用任何服务功能之前，订阅必须先启用Microsoft.PolicyInsights资源提供程序。

需要安装和配置 Azure CLI 版本 2.12.0 或更高版本。要查找版本，请运行az --version。如需进行安装或升级，请参阅安装 Azure CLI。
注册资源提供程序和预览功能。

在本练习中，我们使用 Azure Cloud Shell 来运行这些命令。可随意使用所选的终端进行此练习。首先，登录到Azure 门户

设置环境

转到 Azure 门户。

Azure 门户
选择屏幕顶部搜索栏右侧的“Cloud Shell”图标
选择合适的订阅，然后选择“创建存储”。
在生成的 Cloud Shell 的左上角，选择“PowerShell”并将其更改为“Bash”。如果已显示 Bash，则可以跳过此步骤

通过在 Cloud Shell 中输入以下命令来注册资源提供程序和预览功能。

# Log in first with az login if you're not using Cloud Shell
# Provider register: Register the Azure Policy provider
az provider register --namespace Microsoft.PolicyInsights

完成这些先决条件步骤后，请按照上述说明中的指示在要管理的 AKS 群集中安装 Azure Policy 加载项。在下一部分中，我们会新建群集并启用 Azure Policy 加载项。

创建 AKS 群集并启用 Azure Policy 加载项

现在我们已注册提供程序，接下来可以创建新的资源组并在该组中创建 AKS 群集。

创建资源组

az group create --location eastus --name videogamerg

使用默认设置创建 AKS 群集

备注

对于生产工作负载，最好进一步自定义群集的创建，以确保满足安全和治理要求。我们将使用一个简单群集，单纯为了演练。
```
az aks create --name videogamecluster --resource-group videogamerg 
```

为群集启用 Azure 策略

az aks enable-addons --addons azure-policy --name videogamecluster --resource-group videogamerg

练习 - 为 Azure Kubernetes 服务启用 Azure Policy

创建具有 Azure Policy 和 Azure Monitor 加载项的 AKS 群集

设置环境

创建 AKS 群集并启用 Azure Policy 加载项

反馈