AKS 的内置策略

• 3 分钟

你现已创建一个已启用策略加载项的 Azure Kubernetes 服务 (AKS) 群集，接下来需要找到要分配给环境的策略定义。 本部分介绍如何发现策略，下一部分将通过一个示例演示如何分配这些策略。

适用于 AKS 的 Azure 策略类型

有两种类型的 Azure 策略可以应用于 AKS：群集策略或工作负载策略。

群集策略涵盖群集本身，而不是群集上运行的工作负载。 可以配置这些策略以强制执行群集配置。 这些策略示例包括应在 Kubernetes 服务上定义已授权 IP 范围和应在 Kubernetes 服务上使用基于角色的访问控制 (RBAC)。

工作负载策略涵盖群集中运行的应用程序。 工作负载策略用于在 Kubernetes 群集中强制执行配置。 这些策略依赖于 Azure Policy，使 Kubernetes 加载项能够正常运行。 这些策略示例包括 Kubernetes 群集容器应只使用允许的映像和 Kubernetes 群集 Pod 应只使用允许的卷类型。

以这种方式来思考适用于 Kubernetes 的 Azure 策略会很有用：它们使你能够区分影响群集的策略与群集上运行的应用程序。 值得注意的是，在策略发现期间无法区分这些不同的策略类型。

发现适用于 Kubernetes 的 Azure 内置策略

有两种方法可用于发现适用于 Kubernetes 的 Azure 内置策略：

• 使用 Azure 文档，其中详细介绍了内置策略。
• 使用 Azure 门户中的 Azure 策略边栏选项卡，转到“定义”，并筛选“Kubernetes”类别。

可以将其中一个或多个策略定义分配给管理组、订阅或资源组。 下一单元将通过练习演示如何完成该操作。

策略计划：基于 Linux 的工作负载的 Kubernetes 群集 Pod 安全基线标准

适用于 Kubernetes 的 Azure Policy 还具有多个策略计划。 策略计划是策略定义的集合。 针对 Kubernetes 的其中两个计划是：

• 基于 Linux 的工作负载的 Kubernetes 群集 Pod 安全基线标准
• 基于 Linux 的工作负载的 Kubernetes 群集 Pod 安全限制标准

基线版本包括五个策略定义，侧重于为 Kubernetes 工作负载提供安全基线。 受限的版本总共包含八个策略定义，适用于具有更多安全限制的环境。

可以将这些计划分配给具有 AKS 群集的 Azure 管理组、订阅或资源组，以强制实施一致的安全基线。