Delen via

Inzicht in Azure Policy voor Kubernetes-clusters

Azure Policy breidt Gatekeeper v3, een admissioncontrollerwebhook voor Open Policy Agent (OPA) uit om op schaal afdwinging en beveiliging van uw clusteronderdelen op een gecentraliseerde, consistente manier toe te passen. Clusteronderdelen omvatten pods, containers en naamruimten.

Azure Policy maakt het mogelijk om vanaf één locatie de nalevingsstatus van uw Kubernetes-clusteronderdelen te beheren en te rapporteren. Door de invoegtoepassing of extensie van Azure Policy te gebruiken, worden uw clusteronderdelen uitgebreid met Azure Policy functies, zoals de mogelijkheid om selectors en overrides te gebruiken voor een veilige implementatie en terugdraaibewerking van beleid.

Azure Policy voor Kubernetes ondersteunt de volgende clusteromgevingen:

Belangrijk

Het Azure Policy Helm-model en de invoegtoepassing voor de AKS-engine zijn afgeschaft. Volg de instructies om de extensies te verwijderen.

Belangrijk

Installaties van Gatekeeper buiten de Azure Policy-invoegtoepassing worden niet ondersteund. Verwijder alle onderdelen die zijn geïnstalleerd door een eerdere Gatekeeper-installatie voordat u de Azure Policy-invoegtoepassing inschakelt.

Overzicht

Door de invoegtoepassing of extensie van Azure Policy op uw Kubernetes-clusters te installeren, voert Azure Policy de volgende functies uit:

  • Controleert de Azure Policy-service op beleidstoewijzingen aan het cluster.
  • Hiermee worden beleidsdefinities in het cluster geïmplementeerd als beperkingssjabloon en beperking aangepaste resources of als mutatiesjabloonresource, afhankelijk van de inhoud van de beleidsdefinitie.
  • Rapporteert controle- en nalevingsgegevens terug naar Azure Policy service.

Voer de volgende acties uit om Azure Policy in te schakelen en te gebruiken met uw Kubernetes-cluster:

  1. Configureer uw Kubernetes-cluster en installeer de invoegtoepassing Azure Kubernetes Service (AKS) of de extensie van Azure Policy voor Arc-kubernetes-clusters (afhankelijk van uw clustertype).

    Notitie

    Zie Troubleshoot - Azure Policy Add-on voor veelvoorkomende problemen met de installatie.

  2. Maak of gebruik een voorbeelddefinitie Azure Policy voor Kubernetes

  3. Een definitie toewijzen aan uw Kubernetes-cluster

  4. Wachten op validatie

  5. Logboekregistratie en problemen oplossen

  6. Bekijk beperkingen en aanbevelingen in de sectie Veelgestelde vragen

Azure Policy-invoegtoepassing voor AKS installeren

De Azure Policy-invoegtoepassing voor AKS maakt deel uit van Kubernetes versie 1.27 met langetermijnondersteuning (LTS).

(No changes needed)

  1. Registreer de resource-providers en functies voor het previewen.

    • Azure portal:

      Registreer de resourceproviders Microsoft.PolicyInsights. Zie Resourceproviders en -typen voor stappen.

    • Azure CLI:

      # Log in first with az login if you're not using Cloud Shell

# Provider register: Register the Azure Policy provider
az provider register --namespace Microsoft.PolicyInsights

  2. U moet de Azure CLI versie 2.12.0 of hoger hebben geïnstalleerd en geconfigureerd. Voer de az --version opdracht uit om de versie te vinden. Zie Hoe u de Azure CLI installeert als u de Azure CLI wilt installeren of upgraden.

  3. Het AKS-cluster moet een ondersteunde Kubernetes-versie zijn in Azure Kubernetes Service (AKS). Gebruik het volgende script om de versie van uw AKS-cluster te valideren:

    # Log in first with az login if you're not using Cloud Shell

# Look for the value in kubernetesVersion
az aks list

  4. Open poorten voor de Azure Policy-extensie. De Azure Policy-extensie maakt gebruik van deze domeinen en poorten om beleidsdefinities en toewijzingen op te halen en naleving van het cluster te rapporteren aan Azure Policy.

    Domein Poort
    data.policy.core.windows.net 443
    store.policy.core.windows.net 443
    login.windows.net 443
    dc.services.visualstudio.com 443

Nadat de vereisten zijn voltooid, installeert u de Azure Policy-invoegtoepassing in het AKS-cluster dat u wilt beheren.

  • Azure portal

    1. Start de AKS-service in de Azure-portal door Alle services te selecteren en vervolgens Kubernetes-services te zoeken en te selecteren.

    2. Selecteer een van uw AKS-clusters.

    3. Selecteer Beleidsregels aan de linkerkant van de Kubernetes-servicepagina.

    4. Selecteer op de hoofdpagina de knop Invoegtoepassing inschakelen.

  • Azure CLI

    # Log in first with az login if you're not using Cloud Shell

az aks enable-addons --addons azure-policy --name MyAKSCluster --resource-group MyResourceGroup

Voer de volgende opdracht uit om te controleren of de installatie van de invoegtoepassing is geslaagd en of de azure-policy - en gatekeeper-pods worden uitgevoerd:

# azure-policy pod is installed in kube-system namespace
kubectl get pods -n kube-system

# gatekeeper pod is installed in gatekeeper-system namespace
kubectl get pods -n gatekeeper-system

Controleer ten slotte of de meest recente invoegtoepassing is geïnstalleerd door deze Azure CLI opdracht uit te voeren, waarbij u <rg> vervangt door de naam van uw resourcegroep en <cluster-name> door de naam van uw AKS-cluster: az aks show --query addonProfiles.azurepolicy -g <rg> -n <cluster-name>. Het resultaat moet vergelijkbaar zijn met de volgende uitvoer voor clusters die gebruikmaken van serviceprincipals:

{
  "config": null,
  "enabled": true,
  "identity": null
}

En hier is de uitvoer voor clusters die gebruikmaken van beheerde identiteit:

 {
   "config": null,
   "enabled": true,
   "identity": {
     "clientId": "########-####-####-####-############",
     "objectId": "########-####-####-####-############",
     "resourceId": "<resource-id>"
   }
 }

Azure Policy-extensie installeren voor kubernetes met Azure Arc ingeschakeld

Azure Policy voor Kubernetes maakt het mogelijk om de nalevingsstatus van uw Kubernetes-clusters vanaf één locatie te beheren en te rapporteren. Met de extensie van Azure Policy voor Kubernetes-clusters met Arc kunt u de kubernetes-clusteronderdelen met Arc beheren, zoals pods en containers.

In dit artikel wordt beschreven hoe u de Azure Policy voor de Kubernetes-extensie kunt maken, de status van de extensie kunt tonen en de extensie kunt verwijderen.

Zie Azure Arc clusterextensies voor een overzicht van het uitbreidingsplatform.

(No changes needed)

Als u al Azure Policy voor Kubernetes hebt geïmplementeerd op een Azure Arc-cluster zonder extensies, volgt u de instructies voor het uitwijderen van de Helm-grafiek. Nadat het verwijderen is voltooid, kunt u doorgaan.

  1. Zorg ervoor dat uw Kubernetes-cluster een ondersteunde distributie is.

    Notitie

    Azure Policy voor arc-extensie wordt ondersteund op de volgende Kubernetes-distributies.

  2. Zorg ervoor dat u voldoet aan alle algemene vereisten voor Kubernetes-extensies die worden vermeld here inclusief connecting van uw cluster met Azure Arc.

    Notitie

    Azure Policy-extensie wordt ondersteund voor Kubernetes-clusters met Arc in deze regio's.

  3. Open poorten voor de Azure Policy-extensie. De Azure Policy-extensie maakt gebruik van deze domeinen en poorten om beleidsdefinities en toewijzingen op te halen en naleving van het cluster te rapporteren aan Azure Policy.

    Domein Poort
    data.policy.core.windows.net 443
    store.policy.core.windows.net 443
    login.windows.net 443
    dc.services.visualstudio.com 443

  4. Voordat u de Azure Policy-extensie installeert of een van de servicefuncties inschakelt, moet uw abonnement de Microsoft.PolicyInsights resourceproviders inschakelen.

    Notitie

    Als u de resourceprovider wilt inschakelen, volgt u de stappen in Resource-providers en -typen of voert u de opdracht Azure CLI of Azure PowerShell uit.

    • Azure CLI

      # Log in first with az login if you're not using Cloud Shell
# Provider register: Register the Azure Policy provider
az provider register --namespace 'Microsoft.PolicyInsights'

    • Azure PowerShell

      # Log in first with Connect-AzAccount if you're not using Cloud Shell

# Provider register: Register the Azure Policy provider
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

Azure Policy-extensie maken

Notitie

Let op het volgende voor het maken van Azure Policy extensie:

  • Automatische upgrade is standaard ingeschakeld, waardoor de minor versie van de Azure Policy-extensie wordt bijgewerkt als er nieuwe updates worden geïmplementeerd.
  • Proxyvariabelen die als parameters worden doorgegeven aan connectedk8s, worden doorgegeven aan de Azure Policy-extensie ter ondersteuning van uitgaande proxy.

Als u een extensie-exemplaar wilt maken voor uw Arc-ingeschakelde cluster, voert u de volgende opdracht uit en vervangt u <> door uw waarden:

az k8s-extension create --cluster-type connectedClusters --cluster-name <CLUSTER_NAME> --resource-group <RESOURCE_GROUP> --extension-type Microsoft.PolicyInsights --name <EXTENSION_INSTANCE_NAME>

Voorbeeld:

az k8s-extension create --cluster-type connectedClusters --cluster-name my-test-cluster --resource-group my-test-rg --extension-type Microsoft.PolicyInsights --name azurepolicy

Voorbeelduitvoer:

{
  "aksAssignedIdentity": null,
  "autoUpgradeMinorVersion": true,
  "configurationProtectedSettings": {},
  "configurationSettings": {},
  "customLocationSettings": null,
  "errorInfo": null,
  "extensionType": "microsoft.policyinsights",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/my-test-rg/providers/Microsoft.Kubernetes/connectedClusters/my-test-cluster/providers/Microsoft.KubernetesConfiguration/extensions/azurepolicy",
 "identity": {
    "principalId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
    "tenantId": null,
    "type": "SystemAssigned"
  },
  "location": null,
  "name": "azurepolicy",
  "packageUri": null,
  "provisioningState": "Succeeded",
  "releaseTrain": "Stable",
  "resourceGroup": "my-test-rg",
  "scope": {
    "cluster": {
      "releaseNamespace": "kube-system"
    },
    "namespace": null
  },
  "statuses": [],
  "systemData": {
    "createdAt": "2021-10-27T01:20:06.834236+00:00",
    "createdBy": null,
    "createdByType": null,
    "lastModifiedAt": "2021-10-27T01:20:06.834236+00:00",
    "lastModifiedBy": null,
    "lastModifiedByType": null
  },
  "type": "Microsoft.KubernetesConfiguration/extensions",
  "version": "1.1.0"
}

Azure Policy-extensie weergeven

Als u wilt controleren of het maken van het extensie-exemplaar is geslaagd en de metagegevens van de extensie wilt controleren, voert u de volgende opdracht uit die vervangt <> door uw waarden:

az k8s-extension show --cluster-type connectedClusters --cluster-name <CLUSTER_NAME> --resource-group <RESOURCE_GROUP> --name <EXTENSION_INSTANCE_NAME>

Voorbeeld:

az k8s-extension show --cluster-type connectedClusters --cluster-name my-test-cluster --resource-group my-test-rg --name azurepolicy

Voer de volgende opdracht uit om te controleren of de installatie van de extensie is geslaagd en of de azure-policy- en gatekeeper-pods worden uitgevoerd:

# azure-policy pod is installed in kube-system namespace
kubectl get pods -n kube-system

# gatekeeper pod is installed in gatekeeper-system namespace
kubectl get pods -n gatekeeper-system

Azure Policy-extensie verwijderen

Als u het extensie-exemplaar wilt verwijderen, voert u de volgende opdracht uit die vervangt <> door uw waarden:

az k8s-extension delete --cluster-type connectedClusters --cluster-name <CLUSTER_NAME> --resource-group <RESOURCE_GROUP> --name <EXTENSION_INSTANCE_NAME>

Een beleidsdefinitie maken

De Azure Policy taalstructuur voor het beheren van Kubernetes volgt die van bestaande beleidsdefinities. Er zijn voorbeelddefinitiebestanden beschikbaar om toe te wijzen in Azure Policy ingebouwde beleidsbibliotheek die kunnen worden gebruikt om uw clusteronderdelen te beheren.

Azure Policy voor Kubernetes biedt ook ondersteuning voor het maken van aangepaste definities op onderdeelniveau voor zowel Azure Kubernetes Service-clusters als Azure Arc kubernetes-clusters. Beperkte sjabloon- en mutatiesjabloonvoorbeelden zijn beschikbaar in de Gatekeeper-communitybibliotheek. Azure Policy's Visual Studio Code Extension kan worden gebruikt om een bestaande beperkingssjabloon of mutatiesjabloon te vertalen naar een aangepaste Azure Policy beleidsdefinitie.

Met een Resource Provider-modus van Microsoft.Kubernetes.Data, de effecten audit, deny, disabled en mutate worden gebruikt om uw Kubernetes-clusters te beheren.

Controle en weigeren moeten eigenschappen bieden details die specifiek zijn voor het werken met OPA Constraint Framework en Gatekeeper v3.

Als onderdeel van de eigenschappen details.templateInfo of details.constraintInfo in de beleidsdefinitie, Azure Policy geeft de URI of Base64Encoded waarde van deze CustomResourceDefinitions(CRD) door aan de invoegtoepassing. Rego is de taal die OPA en Gatekeeper ondersteunen om een aanvraag voor het Kubernetes-cluster te valideren. Door een bestaande standaard voor Kubernetes-beheer te ondersteunen, maakt Azure Policy het mogelijk om bestaande regels opnieuw te gebruiken en deze te koppelen aan Azure Policy voor een uniforme rapportage-ervaring voor cloudcompatibiliteit. Voor meer informatie, zie Wat is Rego?

Een beleidsdefinitie toewijzen

Als u een beleidsdefinitie wilt toewijzen aan uw Kubernetes-cluster, moet u de juiste Azure op rollen gebaseerd toegangsbeheer (Azure RBAC) beleidstoewijzingsbewerkingen toewijzen. De ingebouwde rollen Azure Resource Policy Contributor en Owner hebben deze bewerkingen. Zie Azure RBAC-machtigingen in Azure Policy voor meer informatie.

Zoek de ingebouwde beleidsdefinities voor het beheren van uw cluster met behulp van de Azure-portal met de volgende stappen. Als u een aangepaste beleidsdefinitie gebruikt, zoekt u ernaar op naam of de categorie waarmee u deze hebt gemaakt.

  1. Start de Azure Policy-service in de Azure-portal. Selecteer Alle services in het linkerdeelvenster en zoek en selecteer Beleid.

  2. Selecteer in het linkerdeelvenster van de pagina Azure Policy Definitions.

  3. Gebruik Alles selecteren in de vervolgkeuzelijst bij Categorie om het filter te wissen en selecteer vervolgens Kubernetes.

  4. Selecteer de beleidsdefinitie en selecteer vervolgens de knop Toewijzen .

  5. Stel het bereik in op de beheergroep, het abonnement of de resourcegroep van het Kubernetes-cluster waarop de beleidstoewijzing van toepassing is.

    Notitie

    Wanneer u de Azure Policy voor Kubernetes-definitie toewijst, moet de Scope de clusterresource bevatten.

  6. Geef de beleidstoewijzing een naam en beschrijving die u kunt gebruiken om deze eenvoudig te identificeren.

  7. Stel de Beleidshandhaving in op een van de volgende waarden:

    • Ingeschakeld : dwing het beleid op het cluster af. Kubernetes-toegangsaanvragen met schendingen worden geweigerd.

    • Uitgeschakeld : dwing het beleid op het cluster niet af. Kubernetes-toegangsaanvragen met schendingen worden niet geweigerd. De resultaten van de nalevingsevaluatie zijn nog steeds beschikbaar. Wanneer u nieuwe beleidsdefinities implementeert voor het uitvoeren van clusters, is de optie Uitgeschakeld handig voor het testen van de beleidsdefinitie omdat toegangsaanvragen met schendingen niet worden geweigerd.

  8. Klik op Volgende.

  9. Parameterwaarden instellen

    • Als u Kubernetes-naamruimten wilt uitsluiten van beleidsevaluatie, geeft u de lijst met naamruimten op in uitsluitingen van parameternaamruimten. De aanbeveling is om uit te sluiten: kube-system, gatekeeper-system en azure-arc.

  10. Kies Controleren + maken.

U kunt ook de quickstart Een beleid toewijzen - Portal gebruiken om een Kubernetes-beleid te zoeken en toe te wijzen. Zoek naar een Kubernetes-beleidsdefinitie in plaats van het voorbeeld audit vms.

Belangrijk

Ingebouwde beleidsdefinities zijn beschikbaar voor Kubernetes-clusters in categorie Kubernetes. Zie Kubernetes-voorbeelden voor een lijst met ingebouwde beleidsdefinities.

Beleidsevaluatie

De invoegtoepassing wordt elke 15 minuten ingecheckt bij Azure Policy service voor wijzigingen in beleidstoewijzingen. Tijdens deze vernieuwingscyclus controleert de invoegtoepassing op wijzigingen. Met deze wijzigingentrigger worden de beperkingssjablonen en beperkingen gemaakt, bijgewerkt of verwijderd.

Als in een Kubernetes-cluster een naamruimte het juiste label voor het cluster heeft, worden de toegangsaanvragen met schendingen niet geweigerd. De resultaten van de nalevingsevaluatie zijn nog steeds beschikbaar.

  • Kubernetes-cluster met Azure Arc ingeschakeld: admission.policy.azure.com/ignore

Notitie

Hoewel een clusterbeheerder mogelijk gemachtigd is om constraint templates te maken en bij te werken en beperkingsresources te installeren die door de Azure Policy-invoegtoepassing worden geïnstalleerd, worden deze scenario's niet ondersteund doordat handmatige updates genegeerd worden. Gatekeeper blijft beleidsregels evalueren die bestonden voordat u de invoegtoepassing installeert en Azure Policy beleidsdefinities toewijst.

Elke 15 minuten roept de invoegtoepassing een volledige scan van het cluster aan. Na het verzamelen van details van de volledige scan en eventuele realtime evaluaties door Gatekeeper van pogingen tot wijzigingen in het cluster, rapporteert de add-on de resultaten terug naar Azure Policy om opgenomen te worden in compliance details zoals bij elke toewijzing van een Azure Policy. Alleen resultaten voor actieve beleidstoewijzingen worden geretourneerd tijdens de controlecyclus. Controleresultaten kunnen ook worden gezien als schendingen die worden vermeld in het statusveld van de mislukte beperking. Voor meer informatie over niet-conforme resources, zie Onderdeeldetails voor resourceprovidermodi.

Notitie

Elk nalevingsrapport in Azure Policy voor uw Kubernetes-clusters omvat alle schendingen in de afgelopen 45 minuten. De tijdstempel geeft aan wanneer er een schending is opgetreden.

Enkele andere overwegingen:

  • Als het clusterabonnement is geregistreerd bij Microsoft Defender voor Cloud, worden Microsoft Defender voor Cloud Kubernetes-beleid automatisch toegepast op het cluster.

  • Wanneer een beleid voor weigeren wordt toegepast op een cluster met bestaande Kubernetes-resources, blijft elke bestaande resource die niet compatibel is met het nieuwe beleid, nog steeds actief. Wanneer de niet-conforme resource opnieuw wordt gepland op een ander knooppunt, blokkeert Gatekeeper de creatie van de resource.

  • Wanneer een cluster een beleid voor weigeren heeft waarmee resources worden gevalideerd, krijgt de gebruiker geen afwijzingsbericht bij het maken van een implementatie. Denk bijvoorbeeld aan een Kubernetes-implementatie die replicasets en pods bevat. Wanneer een gebruiker kubectl describe deployment $MY_DEPLOYMENT uitvoert, wordt er geen afwijzingsbericht geretourneerd als onderdeel van de gebeurtenissen. kubectl describe replicasets.apps $MY_DEPLOYMENT Retourneert echter de gebeurtenissen die zijn gekoppeld aan afwijzing.

Notitie

Initcontainers kunnen worden meegenomen tijdens de evaluatie van het beleid. Als u wilt zien of initiatiecontainers zijn opgenomen, raadpleegt u de CRD voor de volgende of een vergelijkbare verklaring.

input_containers[c] {
   c := input.review.object.spec.initContainers[_]
}

Conflicten van beperkingssjablonen

Als beperkingssjablonen dezelfde naam voor de metagegevens van de resource hebben, maar de beleidsdefinitie verwijst naar de bron op verschillende locaties, worden de beleidsdefinities beschouwd als conflicterend. Voorbeeld: Twee beleidsdefinities verwijzen naar hetzelfde template.yaml-bestand dat is opgeslagen op verschillende bronlocaties, zoals het Azure Policy sjabloonarchief (store.policy.core.windows.net) en GitHub.

Wanneer beleidsdefinities en de bijbehorende beperkingssjablonen zijn toegewezen, maar nog niet op het cluster zijn geïnstalleerd en conflicteren, worden ze gerapporteerd als een conflict en worden ze pas in het cluster geïnstalleerd nadat het conflict is opgelost. Op dezelfde manier blijven bestaande beleidsdefinities en de bijbehorende beperkingssjablonen die zich al in het cluster bevinden die conflicteren met nieuw toegewezen beleidsdefinities normaal functioneren. Als een bestaande toewijzing wordt bijgewerkt en de beperkingssjabloon niet kan worden gesynchroniseerd, wordt het cluster ook gemarkeerd als een conflict. Zie de nalevingsredenen voor de AKS-resourceprovidermodus voor alle conflictberichten

Loggen

Als Kubernetes-controller/-container bewaren zowel de azure-policy - als gatekeeper-pods logboeken in het Kubernetes-cluster. In het algemeen kunnen azure-policy-logboeken worden gebruikt om problemen met beleidsopname op het cluster en nalevingsrapportage op te lossen. De gatekeeper-controller-manager pod-logboeken kunnen worden gebruikt om problemen met runtime-ontkenningen op te lossen. De gatekeeper-audit pod logboeken kunnen worden gebruikt om problemen met het controleren van bestaande resources op te lossen. De logboeken kunnen worden weergegeven op de pagina Inzichten van het Kubernetes-cluster. Zie Monitor de prestaties van uw Kubernetes-cluster met Azure Monitor voor containers voor meer informatie.

Als u de invoegtoepassingslogboeken wilt weergeven, gebruikt u kubectl:

# Get the azure-policy pod name installed in kube-system namespace
kubectl logs <azure-policy pod name> -n kube-system

# Get the gatekeeper pod name installed in gatekeeper-system namespace
kubectl logs <gatekeeper pod name> -n gatekeeper-system

Als u probeert problemen met een bepaalde ComplianceReasonCode op te lossen die wordt weergegeven in de nalevingsresultaten, kunt u in de podlogboeken van Azure Policy naar die code zoeken om de volledige bijbehorende fout te zien.

Raadpleeg Foutopsporing voor Gatekeeper in de Gatekeeper-documentatie voor meer informatie.

Gatekeeper-artefacten weergeven

Nadat de invoegtoepassing de beleidstoewijzingen heeft gedownload en de beperkingssjablonen en beperkingen voor het cluster heeft geïnstalleerd, annoteert het beide met Azure Policy-informatie zoals de beleidstoewijzings-id en de beleidsdefinitie-id. Gebruik de volgende stappen om uw client te configureren zodat de gerelateerde artefacten van de invoegtoepassing worden weergegeven:

  1. Stel kubeconfig in voor het cluster.

    Gebruik de volgende Azure CLI voor een Azure Kubernetes Service-cluster:

    # Set context to the subscription
az account set --subscription <YOUR-SUBSCRIPTION>

# Save credentials for kubeconfig into .kube in your home folder
az aks get-credentials --resource-group <RESOURCE-GROUP> --name <CLUSTER-NAME>

  2. Test de verbinding van de cluster.

    Voer de opdracht kubectl cluster-info uit. Bij een geslaagde uitvoering reageert elke service met een URL van waar deze wordt uitgevoerd.

Bekijk de sjablonen voor invoegtoepassingsbeperkingen

Als u beperkingensjablonen wilt weergeven die zijn gedownload door de invoegtoepassing, voert u de opdracht uit kubectl get constrainttemplates. Beperkingssjablonen die beginnen met k8sazure zijn de sjablonen die door de invoegtoepassing zijn geïnstalleerd.

Bekijk de sjablonen voor mutaties van invoegtoepassingen

Als u mutatiesjablonen wilt bekijken die zijn gedownload door de invoegtoepassing, voert u uit kubectl get assignen kubectl get assignmetadatakubectl get modifyset.

Toewijzingen voor Azure Policy ophalen

Als u de toewijzing wilt identificeren tussen een restrictiesjabloon dat is gedownload naar het cluster en de beleidsdefinitie, kunt u kubectl get constrainttemplates <TEMPLATE> -o yaml gebruiken. De resultaten zien er ongeveer als volgt uit:

apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
    annotations:
    azure-policy-definition-id: /subscriptions/<SUBID>/providers/Microsoft.Authorization/policyDefinitions/<GUID>
    constraint-template-installed-by: azure-policy-addon
    constraint-template: <URL-OF-YAML>
    creationTimestamp: "2021-09-01T13:20:55Z"
    generation: 1
    managedFields:
    - apiVersion: templates.gatekeeper.sh/v1beta1
    fieldsType: FieldsV1
...

<SUBID> is de abonnements-id en <GUID> is de id van de gemapte beleidsdefinitie. <URL-OF-YAML> is de bronlocatie van de beperkingssjabloon die door de invoegtoepassing is gedownload om op het cluster te installeren.

Zodra u de namen van de gedownloade beperkingssjablonen voor de invoegtoepassing hebt, kunt u de naam gebruiken om de gerelateerde beperkingen te bekijken. Gebruik kubectl get <constraintTemplateName> om de lijst te krijgen. Beperkingen die door de invoegtoepassing zijn geïnstalleerd, beginnen met azurepolicy-.

Details van beperking weergeven

De beperking bevat details over schendingen en koppelingen naar de beleidsdefinitie en toewijzing. Als u de details wilt bekijken, gebruikt u kubectl get <CONSTRAINT-TEMPLATE> <CONSTRAINT> -o yaml. De resultaten zien er ongeveer als volgt uit:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sAzureContainerAllowedImages
metadata:
  annotations:
    azure-policy-assignment-id: /subscriptions/<SUB-ID>/resourceGroups/<RG-NAME>/providers/Microsoft.Authorization/policyAssignments/<ASSIGNMENT-GUID>
    azure-policy-definition-id: /providers/Microsoft.Authorization/policyDefinitions/<DEFINITION-GUID>
    azure-policy-definition-reference-id: ""
    azure-policy-setdefinition-id: ""
    constraint-installed-by: azure-policy-addon
    constraint-url: <URL-OF-YAML>
  creationTimestamp: "2021-09-01T13:20:55Z"
spec:
  enforcementAction: deny
  match:
    excludedNamespaces:
    - kube-system
    - gatekeeper-system
    - azure-arc
  parameters:
    imageRegex: ^.+azurecr.io/.+$
status:
  auditTimestamp: "2021-09-01T13:48:16Z"
  totalViolations: 32
  violations:
  - enforcementAction: deny
    kind: Pod
    message: Container image nginx for container hello-world has not been allowed.
    name: hello-world-78f7bfd5b8-lmc5b
    namespace: default
  - enforcementAction: deny
    kind: Pod
    message: Container image nginx for container hello-world has not been allowed.
    name: hellow-world-89f8bfd6b9-zkggg

Het oplossen van problemen met de invoegtoepassing

Zie de sectie Kubernetes van het artikel Azure Policy probleemoplossing voor meer informatie over het oplossen van problemen met de invoegtoepassing voor Kubernetes.

Ga naar de volgende URL voor problemen in verband met de Azure Policy-extensie voor Arc-extensie:

Voor Azure Policy gerelateerde problemen gaat u naar:

Azure Policy-invoegtoepassing voor AKS-wijzigingenlogboek

De invoegtoepassing van Azure Policy voor AKS heeft een versienummer dat de afbeeldingsversie van de invoegtoepassing aangeeft. Omdat de functieondersteuning nieuw wordt geïntroduceerd voor de invoegtoepassing, is het versienummer verhoogd.

In deze sectie kunt u zien welke invoegtoepassingsversie op uw cluster is geïnstalleerd en ook een historische tabel delen van de Azure Policy invoegtoepassingsversie die per AKS-cluster is geïnstalleerd.

Identificeer welke Add-on-versie op uw cluster is geïnstalleerd

De Azure Policy-invoegtoepassing maakt gebruik van het standaardschema Semantische versiebeheer voor elke versie. Als u de Azure Policy invoegtoepassingsversie wilt identificeren die wordt gebruikt, kunt u de volgende opdracht uitvoeren: kubectl get pod azure-policy-<unique-pod-identifier> -n kube-system -o json | jq '.spec.containers[0].image'

Als u de Gatekeeper-versie wilt identificeren die uw Azure Policy-invoegtoepassing gebruikt, kunt u de volgende opdracht uitvoeren: kubectl get pod gatekeeper-controller-<unique-pod-identifier> -n gatekeeper-system -o json | jq '.spec.containers[0].image'

Als u ten slotte de AKS-clusterversie wilt identificeren die u gebruikt, volgt u de gekoppelde AKS-richtlijnen.

Beschikbare add-on-versies voor elke AKS-clusterversie

1.16.1

Inleiding tot de generatie van validerende toelatingsbeleid (VAP). Het valideren van toegangsbeleid is kubernetes-systeemeigen validatie van beleidsresources die in het proces worden geëvalueerd, waardoor een verminderde latentie en een fail-close-evaluatie mogelijk zijn. Azure beleidsregels die Common Expression Language (CEL) bevatten, genereren automatisch VAP's. Raadpleeg de Gatekeeper-documentatie voor meer informatie. Patch CVE-2026-25679, CVE-2026-27142, CVE-2026-27139 en CVE-2026-32280. Beveiligingsverbeteringen.

  • Uitgebracht: mei 2026
  • Kubernetes: 1.36+
  • Gatekeeper: 3.22.1
Gatekeeper 3.22.1

Gatekeeper Release: https://github.com/open-policy-agent/gatekeeper/releases/tag/v3.22.1 Wijzigingen: https://github.com/open-policy-agent/gatekeeper/compare/v3.20.1...v3.22.1

1.15.5

Beveiligingsverbeteringen.

  • Uitgebracht: februari 2026
  • Kubernetes: 1.27+
  • Gatekeeper: 3.20.1

1.15.4

Patch CVE-2025-61727. Beveiligingsverbeteringen.

  • Uitgebracht: december 2025
  • Kubernetes: 1.27+
  • Gatekeeper: 3.20.1

1.15.3

Patch CVE-2025-47914, CVE-2025-58181, CVE-2025-58187 en CVE-2025-22872. Beveiligingsverbeteringen.

  • Uitgebracht: december 2025
  • Kubernetes: 1.27+
  • Gatekeeper: 3.20.1

1.15.1

Beveiligingsverbeteringen.

  • Uitgebracht: november 2025
  • Kubernetes: 1.27+
  • Gatekeeper: 3.20.1

1.14.2

Patch CVE-2025-4802. Beveiligingsverbeteringen.

  • Uitgebracht: oktober 2025
  • Kubernetes: 1.27+
  • Gatekeeper: 3.20.1
Gatekeeper 3.20.1

Gatekeeper Release: https://github.com/open-policy-agent/gatekeeper/releases/tag/v3.20.1 Wijzigingen: https://github.com/open-policy-agent/gatekeeper/compare/v3.19.1...v3.20.1

1.13.1

Patch CVE-2025-47907. Beveiligingsverbeteringen.

  • Uitgebracht: augustus 2025
  • Kubernetes: 1.27+
  • Gatekeeper: 3.20.0

1.13.0

EU-gegevensgrens wordt nu ondersteund door Azure Policy voor Kubernetes op AKS. Voor meer informatie over de EU-gegevensgrens gaat u naar: Overzicht van EU-gegevensgrens. Patch CVE-2025-22874. Beveiligingsverbeteringen.

  • Uitgebracht: juli 2025
  • Kubernetes: 1.27+
  • Gatekeeper: 3.20.0
Gatekeeper 3.20.0

Gatekeeper Release: https://github.com/open-policy-agent/gatekeeper/releases/tag/v3.20.0 Wijzigingen: https://github.com/open-policy-agent/gatekeeper/compare/v3.19.1...v3.20.0

1.12.3

Patch CVE-2025-22874 en GHSA-vrw8-fxc6-2r93. Beveiligingsverbeteringen.

  • Uitgebracht: juli 2025
  • Kubernetes: 1.27+
  • Gatekeeper: 3.19.1

1.12.2

Beveiligingsverbeteringen.

  • Uitgebracht: juni 2025
  • Kubernetes: 1.27+
  • Gatekeeper: 3.19.1

1.11.1

Patch CVE-2025-22872. Beveiligingsverbeteringen.

  • Uitgebracht: mei 2025
  • Kubernetes: 1.27+
  • Gatekeeper: 3.19.1
Gatekeeper 3.19.1

Gatekeeper Release: https://github.com/open-policy-agent/gatekeeper/releases/tag/v3.19.1 Wijzigingen: https://github.com/open-policy-agent/gatekeeper/compare/v3.18.2...v3.19.1

1.10.1

Patch CVE-2025-30204 en CVE-2025-22870. Beveiligingsverbeteringen.

  • Uitgebracht: april 2025
  • Kubernetes: 1.27+
  • Gatekeeper: 3.18.2

1.10.0

CEL is standaard ingeschakeld. U kunt Rego blijven gebruiken. Nieuwe CRD configpodstatuses.status.gatekeeper.sh wordt geïntroduceerd (referentie: https://github.com/open-policy-agent/gatekeeper/issues/2918). Beveiligingsverbeteringen.

  • Uitgebracht: februari 2025
  • Kubernetes: 1.27+
  • Gatekeeper: 3.18.2
Gatekeeper 3.18.2

Gatekeeper Release: https://github.com/open-policy-agent/gatekeeper/releases/tag/v3.18.2 Wijzigingen: https://github.com/open-policy-agent/gatekeeper/compare/v3.17.1...v3.18.2

1.9.1

Patch CVE-2024-45337 en CVE-2024-45338. Beveiligingsverbeteringen.

  • Uitgebracht: januari 2025
  • Kubernetes: 1.27+
  • Gatekeeper: 3.17.1
Gatekeeper 3.17.1

Gatekeeper Release: https://github.com/open-policy-agent/gatekeeper/releases/tag/v3.17.1

1.8.0

Beleid kan nu worden gebruikt om CONNECT-bewerkingen te evalueren, bijvoorbeeld om execs te weigeren. Houd er rekening mee dat er geen brownfield-naleving beschikbaar is voor niet-conforme CONNECT-bewerkingen, dus een beleid met het Audit-effect dat is gericht op CONNECTs heeft geen effect. Beveiligingsverbeteringen.

  • Uitgebracht: november 2024
  • Kubernetes: 1.27+
  • Gatekeeper: 3.17.1

1.7.1

Inleiding tot CEL en VAPOR. Common Expression Language (CEL) is een systeemeigen kubernetes-expressietaal die kan worden gebruikt om validatieregels van een beleid te declareren. Het Validating Admission Policy (VAP) kenmerk biedt evaluatie van het beleid binnen het systeem, vermindert de wachttijd voor beleidsaanvragen en verbetert de betrouwbaarheid en beschikbaarheid. De ondersteunde validatieacties omvatten Weigeren, Waarschuwen en Controleren. Aangepaste beleidscreatie voor CEL/VAPOR is toegestaan en bestaande gebruikers hoeven hun Rego niet te converteren naar CEL, omdat ze beide worden ondersteund en worden gebruikt om beleid af te dwingen. Als u CEL en VAPOR wilt gebruiken, moeten gebruikers zich inschrijven bij de functievlag AKS-AzurePolicyK8sNativeValidation in de naamruimte Microsoft.ContainerService. Raadpleeg de Gatekeeper-documentatie voor meer informatie. Beveiligingsverbeteringen.

  • Uitgebracht: september 2024
  • Kubernetes: 1.27+ (DAMP-generatie wordt alleen ondersteund op 1.30+)
  • Gatekeeper: 3.17.1

1.7.0

Introductie van uitbreiding, een shift-left functie waarmee u vooraf kunt weten of uw workloadresources (Deployments, ReplicaSets, Jobs, enzovoort) toegestane pods zullen produceren. Uitbreiding mag het gedrag van uw beleid niet wijzigen; in plaats daarvan verschuift het de beoordeling van het beleid met betrekking tot pods door Gatekeeper naar het moment waarop workloads worden toegelaten, in plaats van het moment waarop pods worden toegelaten. Als u deze evaluatie wilt uitvoeren, moet er echter een what-if-pod worden gegenereerd en geëvalueerd die is gebaseerd op de podspecificatie die is gedefinieerd in de workload, die mogelijk onvolledige metagegevens bevat. De what-if-pod bevat bijvoorbeeld niet de juiste verwijzingen naar de eigenaar. Vanwege dit kleine risico dat het gedrag van het beleid verandert, zijn uitbreidingen als standaard uitgeschakeld geïntroduceerd. Als u uitbreiding voor een bepaalde beleidsdefinitie wilt inschakelen, stelt u in op .policyRule.then.details.sourceAll. Ingebouwde elementen worden binnenkort bijgewerkt om parameters van dit veld in te schakelen. Als u uw beleidsdefinitie test en ontdekt dat de wat-als-pod die wordt gegenereerd voor evaluatiedoeleinden onvolledig is, kunt u ook een mutatie met bron Generated gebruiken om de wat-als-pods te muteren. Raadpleeg de Gatekeeper-documentatie voor meer informatie over deze optie. Uitbreiding is momenteel alleen beschikbaar op AKS-clusters, niet op Arc-clusters. Beveiligingsverbeteringen.

  • Uitgebracht: juli 2024
  • Kubernetes: 1.27+
  • Gatekeeper: 3.16.3

1.6.1

Beveiligingsverbeteringen.

  • Uitgebracht: mei 2024
  • Gatekeeper: 3.14.2

1.5.0

Beveiligingsverbeteringen.

  • Uitgebracht: mei 2024
  • Kubernetes: 1.27+
  • Gatekeeper: 3.16.3

1.4.0

Maakt mutatie en externe gegevens standaard mogelijk. De extra toegevoegde muterende webhook en de verhoogde time-outlimiet voor de validatie-webhook zouden in het ergste geval latentie kunnen toevoegen aan oproepen. Introduceert ook ondersteuning voor het weergeven van beleidsdefinities en het instellen van definitieversies in nalevingsresultaten. Beveiligingsverbeteringen.

  • Uitgebracht: mei 2024
  • Kubernetes: 1.25+
  • Gatekeeper: 3.14.0

1.3.0

Introduceert foutstatus voor beleidsregels in fouttoestand, zodat ze kunnen worden onderscheiden van beleidsregels in niet-nalevingstoestanden. Voegt ondersteuning toe voor v1-beperkingssjablonen en het gebruik van de excludedNamespaces parameter in mutatiebeleid. Hiermee wordt een foutstatuscontrole toegevoegd voor beperkingssjablonen na de installatie. Beveiligingsverbeteringen.

  • Uitgebracht: februari 2024
  • Kubernetes: 1.25+
  • Gatekeeper: 3.14.0

1.2.1

Beveiligingsverbeteringen.

  • Uitgebracht: oktober 2023
  • Kubernetes: 1.25+
  • Gatekeeper: 3.13.3

1.1.0

Beveiligingsverbeteringen.

  • Uitgebracht: juli 2023
  • Kubernetes: 1.27+
  • Gatekeeper: 3.11.1

1.0.1

Beveiligingsverbeteringen.

  • Uitgebracht: juni 2023
  • Kubernetes: 1.24+
  • Gatekeeper: 3.11.1

1.0.0

Azure Policy voor Kubernetes ondersteunt nu mutatie om AKS-clusters op grote schaal te herstellen.

De invoegtoepassing verwijderen

De invoegtoepassing verwijderen uit AKS

Als u de Azure Policy-invoegtoepassing uit uw AKS-cluster wilt verwijderen, gebruikt u de Azure-portal of Azure CLI:

  • Azure portal

    1. Start de AKS-service in de Azure-portal door Alle services te selecteren en vervolgens Kubernetes-services te zoeken en te selecteren.

    2. Selecteer uw AKS-cluster waar u de Azure Policy-invoegtoepassing wilt uitschakelen.

    3. Selecteer Beleidsregels aan de linkerkant van de Kubernetes-servicepagina.

    4. Selecteer op de hoofdpagina de knop Invoegtoepassing uitschakelen.

  • Azure CLI

    # Log in first with az login if you're not using Cloud Shell

az aks disable-addons --addons azure-policy --name MyAKSCluster --resource-group MyResourceGroup

De invoegtoepassing verwijderen uit Azure Arc ingeschakelde Kubernetes

Notitie

Azure Policy Helm-model voor invoegtoepassingen is nu afgeschaft. Kies in plaats daarvan voor de Azure Policy-extensie voor Azure Arc ingeschakelde Kubernetes.

Als u de Azure Policy-invoegtoepassing en Gatekeeper wilt verwijderen uit uw Kubernetes-cluster met Azure Arc ingeschakeld, voert u de volgende Helm-opdracht uit:

helm uninstall azure-policy-addon

De invoegtoepassing verwijderen uit de AKS-engine

Notitie

Het AKS Engine-product is nu afgeschaft voor Azure klanten in de openbare cloud. Overweeg het gebruik van Azure Kubernetes Service (AKS) voor beheerde Kubernetes of Cluster-API Provider Azure voor zelfbeheerde Kubernetes. Er zijn geen nieuwe functies gepland; dit project wordt alleen bijgewerkt voor CVE's en vergelijkbaar, met Kubernetes 1.24 als de definitieve versie voor het ontvangen van updates.

Als u de Azure Policy invoegtoepassing en Gatekeeper wilt verwijderen uit uw AKS Engine-cluster, gebruikt u de methode die overeenkomt met de manier waarop de invoegtoepassing is geïnstalleerd:

  • Als deze is geïnstalleerd door de eigenschap addons in de clusterdefinitie voor AKS Engine in te stellen:

    Implementeer de clusterdefinitie opnieuw naar AKS Engine nadat u de eigenschap addons voor azure-policy hebt gewijzigd in false:

    "addons": [
  {
    "name": "azure-policy",
    "enabled": false
  }
]

    Zie AKS Engine : Azure Policy-invoegtoepassing uitschakelen voor meer informatie.

  • Als deze is geïnstalleerd met Helm Charts, voert u de volgende Helm-opdracht uit:

    helm uninstall azure-policy-addon

Beperkingen

  • Raadpleeg de gedocumenteerde limieten van Azure Policy Azure Policy voor algemene definities en toewijzingslimieten
  • Azure Policy invoegtoepassing voor Kubernetes kan alleen worden geïmplementeerd in Linux-knooppuntgroepen.
  • Maximum aantal pods dat wordt ondersteund door de invoegtoepassing Azure Policy per cluster: 10.000
  • Maximum aantal niet-compatibele records per beleid per cluster: 500
  • Maximum aantal niet-compatibele records per abonnement: 1 miljoen
  • Redenen voor niet-naleving zijn niet beschikbaar voor de Microsoft. Kubernetes.Data Resource Provider-modus. Gebruik onderdeeldetails.
  • Uitzonderingen op onderdeelniveau worden niet ondersteund voor resourceprovidermodi. Ondersteuning voor parameters is beschikbaar in Azure Policy definities om bepaalde naamruimten uit te sluiten en op te nemen.
  • Het gebruik van de metadata.gatekeeper.sh/requires-sync-data aantekening in een beperkingssjabloon om de replicatie van gegevens van uw cluster in de OPA-cache te configureren, is momenteel alleen toegestaan voor ingebouwd beleid. De reden hiervoor is dat het resourcegebruik van Gatekeeper-pods aanzienlijk kan toenemen als dit niet zorgvuldig wordt gebruikt.

De Gatekeeper-configuratie configureren

Het wijzigen van de Gatekeeper-configuratie wordt niet ondersteund, omdat deze essentiële beveiligingsinstellingen bevat. Bewerkingen in de configuratie worden afgestemd.

De gegevensinventaris gebruiken in beperkingssjablonen

Op dit moment maken verschillende ingebouwde beleidsregels gebruik van gegevensreplicatie, waarmee gebruikers bestaande on-clusterresources kunnen synchroniseren met de OPA-cache en ernaar kunnen verwijzen tijdens de evaluatie van een AdmissionReview aanvraag. Beleid voor gegevensreplicatie kan worden onderscheiden door de aanwezigheid van data.inventory in de Rego, en de aanwezigheid van de metadata.gatekeeper.sh/requires-sync-dataaantekening, waarmee de Azure Policy-addon wordt geïnformeerd welke resources in de cache moeten worden opgeslagen voor een goede werking van de beleidsevaluatie. Dit proces verschilt van zelfstandige Gatekeeper, waarbij deze aantekening beschrijvend is, niet prescriptief.

Gegevensreplicatie wordt momenteel geblokkeerd voor gebruik in aangepaste beleidsdefinities, omdat het repliceren van resources met een hoog aantal exemplaren het resourcegebruik van Gatekeeper-pods aanzienlijk kan verhogen als ze niet zorgvuldig worden gebruikt. Je ziet een ConstraintTemplateInstallFailed fout bij het proberen een aangepaste beleidsdefinitie te maken met een sjabloon voor beperkingen dat deze aantekening bevat.

Als u de aantekening weghaalt, lijkt het misschien de fout die u ziet te verminderen, maar dan zal de beleidsinvoegtoepassing geen benodigde resources voor die beperkingssjabloon in de cache synchroniseren. Uw beleid wordt dus geëvalueerd op basis van een lege data.inventory waarde (ervan uitgaande dat er geen ingebouwde resources worden toegewezen waarmee de vereiste resources worden gerepliceerd). Dit leidt tot misleidende nalevingsresultaten. Zoals eerder vermeld, is het handmatig bewerken van de configuratie om de vereiste resources in de cache op te slaan ook niet toegestaan.

De volgende beperkingen gelden alleen voor de Azure Policy-invoegtoepassing voor AKS:

  • AKS Pod-beveiligingsbeleid en de Azure Policy-invoegtoepassing voor AKS kunnen niet beide worden ingeschakeld. Voor meer informatie zie AKS-podbeveiligingsbeperking.
  • Naamruimten die automatisch worden uitgesloten door de Azure Policy Add-on voor evaluatie: kube-system en gatekeeper-system.

Veelgestelde vragen

Wat implementeert de Azure Policy-invoegtoepassing/Azure Policy-extensie op mijn cluster bij de installatie?

Voor de Azure Policy-add-on zijn drie Gatekeeper-onderdelen nodig: één auditpod en twee webhookpodreplica's. Er is ook één Azure Policy pod en één Azure Policy webhookpod geïnstalleerd.

Hoeveel middelenverbruik kan ik verwachten dat de Azure Policy invoegtoepassing/uitbreiding per cluster gebruikt?

De Azure Policy voor Kubernetes-onderdelen die op uw cluster worden uitgevoerd, verbruiken meer resources naarmate het aantal Kubernetes-resources en beleidstoewijzingen toeneemt in het cluster, waarvoor controle- en afdwingingsbewerkingen vereist zijn.

Hieronder vindt u schattingen om u te helpen bij het plannen:

  • Voor minder dan 500 pods in één cluster met maximaal 20 beperkingen: twee vCPU's en 350 MB geheugen per onderdeel.
  • Voor meer dan 500 pods in één cluster met een maximum van 40 beperkingen: drie vCPU's en 600 MB geheugen per onderdeel.

Kan Azure Policy voor Kubernetes-definities worden toegepast op Windows pods?

Windows pods ondersteunen geen beveiligingscontexten. Sommige van de Azure Policy definities, zoals het niet toewijzen van hoofdbevoegdheden, kunnen dus niet worden geëscaleerd in Windows pods en zijn alleen van toepassing op Linux-pods.

Welk type diagnostische gegevens wordt verzameld door Azure Policy invoegtoepassing?

De Azure Policy-invoegtoepassing voor Kubernetes verzamelt beperkte diagnostische gegevens voor clusters. Deze diagnostische gegevens zijn essentiële technische gegevens met betrekking tot software en prestaties. De gegevens worden op de volgende manieren gebruikt:

  • Houd Azure Policy-plugin bijgewerkt.
  • Houd Azure Policy invoegtoepassing veilig, betrouwbaar en presterend.
  • Verbeter Azure Policy-invoegtoepassing door middel van de statistische analyse van het gebruik van de invoegtoepassing.

De gegevens die door de invoegtoepassing worden verzameld, zijn geen persoonlijke gegevens. De volgende gegevens worden momenteel verzameld:

  • Azure Policy agentversie van de invoegtoepassing
  • Clustertype
  • Clusterregio
  • Clusterresourcegroep
  • Clusterresource-ID
  • Clusterabonnement-id
  • Cluster-besturingssysteem (voorbeeld: Linux)
  • Clusterstad (voorbeeld: Seattle)
  • Cluster staat of provincie (bijvoorbeeld Washington)
  • Clusterland of -regio (voorbeeld: Verenigde Staten)
  • Uitzonderingen/fouten die zijn opgetreden door Azure Policy-invoegtoepassing tijdens de installatie van de agent bij beleidsevaluatie
  • Aantal Gatekeeper-beleidsdefinities die niet is geïnstalleerd door de invoegtoepassing van Azure Policy

Wat zijn algemene aanbevolen procedures om rekening mee te houden bij het installeren van de Azure Policy-invoegtoepassing?

  • Gebruik een systeem-nodepool met CriticalAddonsOnly taint voor het inplannen van Gatekeeper-pods. Zie Systeemknooppuntgroepen gebruiken voor meer informatie.
  • Uitgaand verkeer van uw AKS-clusters beveiligen. Zie Uitgaand verkeer voor clusterknooppunten beheren voor meer informatie.
  • Als het cluster aad-pod-identity is ingeschakeld, wijzigen NMI-pods (Node Managed Identity) de knooppunten iptables om oproepen naar het eindpunt voor Azure-instantiemetagegevens te onderscheppen. Deze configuratie houdt in dat elk verzoek dat naar het Metadata-eindpunt wordt gestuurd door NMI wordt onderschept, zelfs als de pod geen gebruik maakt van aad-pod-identity.
  • AzurePodIdentityException CRD kan worden geconfigureerd om te informeren aad-pod-identity dat aanvragen naar het eindpunt metagegevens afkomstig van een pod die overeenkomt met labels die zijn gedefinieerd in CRD, moeten worden geproxied zonder dat er verwerking in NMI wordt uitgevoerd. De systeempods met het kubernetes.azure.com/managedby: aks label in de kube-system-naamruimte moeten worden uitgesloten van aad-pod-identity door de AzurePodIdentityException CRD te configureren. Zie Aad-pod-identity uitschakelen voor een specifieke pod of toepassing voor meer informatie. Als u een uitzondering wilt configureren, installeert u de mic-exception YAML.

Volgende stappen

  • Last updated on