Konzistentní nasazování aplikací pomocí konfigurací Flux v2 a Azure Policy

Azure Policy můžete použít k použití konfigurací Flux v2 (Microsoft.KubernetesConfiguration/fluxConfigurations typu prostředku) ve velkém měřítku v clusterech Kubernetes (Microsoft.Kubernetes/connectedClusters) nebo AKS (Microsoft.ContainerService/managedClusters) s podporou služby Azure Arc. Pokud chcete použít Azure Policy, vyberete předdefinované definice zásad a vytvoříte přiřazení zásad.

Než přiřadíte zásadu, která vytváří konfigurace fluxu, musíte zajistit, aby se rozšíření Flux nasadila do vašich clusterů. Můžete to provést tak, že nejprve přiřadíte zásadu, která nasadí rozšíření do všech clusterů ve vybraném oboru (všechny skupiny prostředků v předplatném nebo skupině pro správu nebo konkrétní skupiny prostředků). Při vytváření přiřazení zásady pro nasazení konfigurací pak nastavíte parametry pro konfiguraci Flux, která se použije u clusterů v daném oboru.

Pokud chcete umožnit oddělení obav, můžete vytvořit více přiřazení zásad, z nichž každá má jinou konfiguraci Flux v2 odkazující na jiný zdroj. Například jedno úložiště Git můžou používat správci clusteru, zatímco jiné úložiště můžou používat týmy aplikací.

Předdefinované definice zásad

Následující předdefinované definice zásad poskytují podporu pro tyto scénáře:

Pokud chcete najít všechny definice zásad Flux v2, vyhledejte flux. Další informace najdete v tématu Předdefinované definice zásad Azure pro Kubernetes s podporou Azure Arc.

Požadavky

• Jeden nebo více clusterů Kubernetes s podporou arc nebo clusterů AKS
• Microsoft.Authorization/policyAssignments/write oprávnění k oboru (předplatnému nebo skupině prostředků), ve kterém vytvoříte přiřazení zásad.

Vytvoření přiřazení zásady pro instalaci rozšíření Flux

Aby se zásady použily na cluster konfigurace Flux v2, musí být rozšíření Flux nejprve nainstalované v clusteru. Pokud chcete zajistit, aby se rozšíření nainstalovalo do každého z vašich clusterů, přiřaďte definici zásad clusteru Kubernetes ke konfiguraci instalace rozšíření Flux v požadovaném oboru.

1. Na webu Azure Portal přejděte na Zásady.
2. V části Vytváření obsahu na bočním panelu vyberte Definice.
3. V kategorii Kubernetes vyberte konfiguraci instalace rozšíření Flux v integrované definici zásad clusteru Kubernetes.
4. Vyberte Přiřadit.
5. Nastavte obor na skupinu pro správu, předplatné nebo skupinu prostředků, na kterou se přiřazení zásady použije.
   • Pokud chcete vyloučit všechny prostředky z oboru přiřazení zásad, nastavte vyloučení.
6. Dejte přiřazení zásady snadno identifikovatelný název a popis přiřazení.
7. Ujistěte se, že je vynucení zásad nastavené na Povoleno.
8. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

Vytvoření přiřazení zásad pro použití konfigurací fluxu

V dalším kroku se vraťte do seznamu Definice (v části Vytváření zásad) a použijte definici zásad konfigurace na stejný obor.

1. V kategorii Kubernetes vyberte clustery Kubernetes s konfigurací Flux v2 pomocí veřejné definice předdefinovaných zásad úložiště Git nebo jedné z dalších definic zásad pro použití konfigurací Flux.

2. Vyberte Přiřadit.

3. Nastavte obor na stejný obor, který jste vybrali při přiřazování první zásady, včetně všech vyloučení.

4. Dejte přiřazení zásady snadno identifikovatelný název a popis přiřazení.

5. Ujistěte se, že je vynucení zásad nastavené na Povoleno.

6. Vyberte Další a pak znovu vyberte Další a otevřete kartu Parametry .

7. Nastavte hodnoty parametrů, které se mají použít.

   • Další informace o parametrech najdete v kurzu nasazení konfigurací Flux v2.
   • Při vytváření konfigurací Flux je nutné zadat hodnotu pro jeden (a pouze jeden) těchto parametrů: repositoryRefBranch, , repositoryRefTagrepositoryRefSemver, . repositoryRefCommit

8. Výběrem možnosti Další otevřete úlohu Náprava.

9. Povolte vytvoření úlohy nápravy.

10. Ověřte, že je zaškrtnutá možnost Vytvořit spravovanou identitu a jestli má identita oprávnění přispěvatele . Další informace najdete v tématu Rychlý start: Vytvoření přiřazení zásady k identifikaci prostředků nedodržování předpisů a nápravě nevyhovujících prostředků pomocí azure Policy.

11. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

Konfigurace se pak použije u nových clusterů Kubernetes nebo AKS s podporou Služby Arc vytvořených v rámci přiřazení zásad.

U existujících clusterů možná budete muset ručně spustit úlohu nápravy. Tento úkol obvykle trvá 10 až 20 minut, než se přiřazení zásady projeví.

Ověření přiřazení zásad

1. Na webu Azure Portal přejděte k některému z clusterů Kubernetes nebo AKS s podporou služby Azure Arc.

2. V části Nastavení bočního panelu vyberte GitOps.

   V seznamu konfigurací byste měli vidět konfiguraci vytvořenou přiřazením zásady.

3. V části Prostředky Kubernetes na bočním panelu vyberte Obory názvů a úlohy.

   Měli byste vidět obor názvů a artefakty vytvořené konfigurací Flux. Měli byste také vidět objekty popsané manifesty v úložišti Git nasazené v clusteru.

Přizpůsobení zásad

Předdefinované zásady pokrývají hlavní scénáře použití GitOps s Flux v2 v clusterech Kubernetes. Vzhledem k omezením počtu parametrů povolených v přiřazeních azure Policy (maximálně 20) se ale v předdefinovaných zásadách nenachází všechny parametry. Kromě toho, aby se vešel do limitu 20 parametrů, je možné vytvořit pouze jednu kustomizaci pomocí předdefinovaných zásad.

Pokud máte scénář, který se liší od předdefinovaných zásad, můžete tato omezení překonat vytvořením vlastních zásad pomocí předdefinovaných zásad jako šablon. Můžete vytvořit vlastní zásady, které obsahují jenom parametry, které potřebujete, a zbytek pevně zakódovat, a proto obejít limit 20 parametrů.

Další kroky

• Nastavte Azure Monitor pro kontejnery pomocí clusterů Kubernetes s podporou Azure Arc.
• Přečtěte si další informace o nasazování aplikací pomocí GitOps s flux v2.