Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La governance si riferisce alla capacità di un'organizzazione di applicare e convalidare le regole per garantire la conformità agli standard aziendali. La governance aiuta le organizzazioni a ridurre i rischi, rispettare gli standard aziendali e le normative esterne e ridurre al minimo l'interruzione dell'adozione o dell'innovazione.
La governance include iniziative di pianificazione, impostazione delle priorità strategiche e l'uso di meccanismi e processi per controllare applicazioni e risorse. Per i cluster Kubernetes in un ambiente cloud, la governance significa implementare criteri nei cluster Kubernetes e nelle applicazioni eseguite in tali cluster.
La governance di Kubernetes include l'ambiente cloud, l'infrastruttura di distribuzione del cluster, i cluster stessi e le applicazioni dei cluster. Questa guida è incentrata sulla governance all'interno dei cluster Kubernetes. L'articolo confronta Amazon Elastic Kubernetes Service (EKS) e la governance del cluster Kubernetes del servizio Azure Kubernetes.
Nota
Questo articolo fa parte di una serie di articoli che aiutano i professionisti che hanno familiarità con Amazon EKS a comprendere il servizio Azure Kubernetes.
Le dimensioni della governance di Kubernetes
Tre aspetti definiscono una strategia di governance coerente di Kubernetes:
Gli obiettivi definiscono gli obiettivi dei criteri di sicurezza e conformità per la strategia di governance. Ad esempio, le destinazioni possono specificare quali utenti possono accedere a un cluster, uno spazio dei nomi o un'applicazione Kubernetes. Oppure possono specificare i registri contenitori e le immagini da usare in quali cluster. Il team addetto alle operazioni di sicurezza imposta in genere questi obiettivi come primo passaggio per definire la strategia di governance dell'azienda.
Gli ambiti descrivono in dettaglio gli elementi a cui si applicano le politiche mirate. Gli ambiti devono soddisfare tutti i componenti visibili a Kubernetes. Gli ambiti includono unità organizzative come reparti, team e gruppi o ambienti come cloud, aree o spazi dei nomi.
Le direttive dei criteri usano le funzionalità di Kubernetes per applicare le regole di destinazione negli ambiti specificati, che consentono di applicare i criteri di governance.
Per altre informazioni, vedere Governance di Kubernetes.
Governance in EKS e AKS
I clienti di Amazon Web Services (AWS) usano in genere Kyverno, Gatekeeper o altre soluzioni partner per definire e implementare una strategia di governance per i cluster Amazon EKS. Il repository GitHub aws-eks-best-practices/policies contiene una raccolta di criteri di esempio per Kyverno e Gatekeeper.
I clienti di Azure possono anche usare Kyverno o Gatekeeper. Per estendere Gatekeeper per una strategia di governance di AKS, puoi utilizzare il componente aggiuntivo Azure Policy per Kubernetes.
Guardiano
Cloud Native Computing Foundation (CNF) sponsorizzerà lo strumento Gatekeeper open source, che consente di applicare criteri nei cluster Kubernetes. Gatekeeper è un controller di ammissione Kubernetes che consente di applicare i criteri creati con Open Policy Agent (OPA), un motore di criteri per utilizzo generico.
OPA utilizza un linguaggio dichiarativo di alto livello denominato Rego per creare criteri che possono eseguire pod provenienti da tenant su istanze separate o con priorità diverse. Per una raccolta di criteri OPA comuni, vedere la libreria OPA Gatekeeper.
Kyverno
CNCF sponsorizza anche il progetto open source Kyverno, che aiuta a far rispettare le politiche nei cluster Kubernetes. Kyverno è un motore di criteri nativo di Kubernetes che può usare i criteri per convalidare, modificare e generare configurazioni delle risorse Kubernetes.
Usare Kyverno per definire e gestire i criteri come risorse Kubernetes senza usare un nuovo linguaggio. È possibile gestire i criteri usando strumenti familiari, ad esempio kubectl, git e kustomize.
Kyverno ha le funzionalità seguenti:
- Usa sovrimpressioni stile
kustomizeper la convalida - Supporta le patch JSON e le patch di fusione strategica per le modifiche.
- Clona le risorse nei namespace basandosi su trigger flessibili.
Per distribuire i criteri singolarmente, usare i manifesti YAML dei criteri. Per creare pacchetti e distribuire criteri, usare i grafici Helm.
A differenza di Gatekeeper o Azure Policy per Azure Kubernetes Service, Kyverno può usare le politiche per generare nuovi oggetti Kubernetes, invece di convalidare o alterare solo le risorse esistenti. Ad esempio, è possibile definire un criterio Kyverno per automatizzare la creazione di un criterio di rete predefinito per i nuovi spazi dei nomi.
- Per altre informazioni, vedere Guida all'installazione di Kyverno.
- Per un elenco dei criteri pronti per l'uso o personalizzabili, vedere La libreria dei criteri di Kyverno.
- Per indicazioni sulla risoluzione dei problemi, ad esempio APIServer che non riesce a effettuare le chiamate webhook, vedere Risoluzione dei problemi di Kyverno.
Facoltativamente, è possibile distribuire l'implementazione di Kyverno degli standard di sicurezza dei pod Kubernetes come criteri Kyverno. I controlli degli standard di sicurezza dei pod forniscono un punto di partenza per la sicurezza operativa generale del cluster Kubernetes.
Estensione Criteri di Azure per AKS
Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper, che è un webhook del controller di ammissione per OPA. Questo componente aggiuntivo applica le imposizione e le misure di sicurezza su larga scala nei componenti del cluster in modo centralizzato e coerente. I componenti del cluster includono pod, contenitori e namespace. Azure Policy offre la gestione centralizzata della conformità e la reportistica per più cluster Kubernetes. Questa funzionalità semplifica la gestione e la governance degli ambienti multicluster rispetto alla distribuzione e alla gestione di Kyverno o Gatekeeper per ogni cluster.
Il componente aggiuntivo Criteri di Azure per Azure Kubernetes Service (AKS) esegue le seguenti funzioni:
Usa Politica di Azure per verificare le assegnazioni di policy al cluster.
Distribuisce le definizioni dei criteri nel cluster come modello di vincolo e risorse personalizzate per vincoli.
Riporta i dettagli di auditing e conformità ai criteri di Azure.
Il componente aggiuntivo Criteri di Azure è compatibile sia con AKS che con gli ambienti cluster Kubernetes abilitati per Azure Arc. Per maggiori informazioni, vedere Comprendere i criteri di Azure per i cluster Kubernetes.
Per installare il componente aggiuntivo in cluster nuovi ed esistenti, seguire le istruzioni di installazione.
Dopo aver installato il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes, è possibile applicare singole definizioni di criteri o gruppi di definizioni di criteri, denominate iniziative, al cluster del servizio Azure Kubernetes. È possibile applicare le definizioni di criteri e iniziative predefinite di Azure Policy fin dall'inizio. In alternativa, è possibile creare e assegnare definizioni di criteri personalizzate eseguendo i passaggi necessari. I criteri di sicurezza predefiniti di Criteri di Azure migliorano la postura di sicurezza del cluster AKS, applica gli standard dell'organizzazione e valuta la conformità a livello globale.
Collaboratori
Microsoft gestisce questo articolo. I collaboratori seguenti hanno scritto questo articolo.
Autori principali:
- Paolo Salvatori | Ingegnere del servizio principale
- Martin Gjoševski | Senior Service Engineer
Altri contributori:
- Chad Kittel | Principal Software Engineer
- Ed Price | Senior Content Program Manager
- Theano Petersen | Redattore tecnico
Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.
Passaggi successivi
- Politica per Kubernetes
- Proteggi il cluster AKS utilizzando Criteri di Azure
- Discipline di governance per AKS
- OPA Gatekeeper: criteri e governance per Kubernetes
Risorse correlate
- Azure Kubernetes Service per professionisti Amazon EKS
- Gestione delle identità e degli accessi Kubernetes
- Monitoraggio e registrazione Kubernetes
- Accesso sicuro alla rete Kubernetes
- Opzioni di archiviazione per un cluster Kubernetes
- Gestione dei costi per Kubernetes
- Gestione del nodo e del pool di nodi Kubernetes