Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En Azure Kubernetes Service (AKS), los nodos con las mismas configuraciones se agrupan en grupos de nodos. Cada grupo de nodos contiene las máquinas virtuales (VM) que ejecutan las aplicaciones. En el tutorial anterior, creó un clúster de Azure Linux con OS Guard con un único grupo de nodos. Para cumplir los distintos requisitos de proceso, almacenamiento o seguridad de las aplicaciones, puede agregar grupos de nodos de usuario.
En este tutorial, la segunda parte de cinco, aprenderá a:
- Agregue un grupo de nodos de Azure Linux con OS Guard a un clúster existente.
- Compruebe el estado de los grupos de nodos.
En tutoriales posteriores, aprenderá a migrar nodos a Azure Linux con OS Guard y a habilitar la telemetría para supervisar los clústeres.
Consideraciones y limitaciones
Antes de empezar, revise las siguientes consideraciones y limitaciones para Azure Linux con OS Guard (versión preliminar):
- La versión 1.32.0 o posterior de Kubernetes es necesaria para Azure Linux con OS Guard.
- Todas las imágenes de Azure Linux con OS Guard tienen habilitado el Estándar federal de proceso de información (FIPS) y el Inicio seguro.
- Las plantillas de la CLI de Azure y ARM son los únicos métodos de implementación admitidos para Azure Linux con OS Guard en AKS en versión preliminar. PowerShell y Terraform no están admitidos.
- Las imágenes de Arm64 no se admiten en Azure Linux con OS Guard en AKS en fase de vista previa.
-
NodeImageyNoneson los únicos canales de actualización del sistema operativo compatibles para Azure Linux con OS Guard en AKS.UnmanagedySecurityPatchson incompatibles con Azure Linux con OS Guard debido al directorio /usr inmutable. - No se admite el Streaming de artefactos.
- No se admite el Sandboxing de pods.
- No se admiten máquinas virtuales confidenciales (CVM).
- No se admiten máquinas virtuales (VM) gen 1.
Prerrequisitos
- En el tutorial anterior, ha creado e implementado un clúster de Azure Linux con OS Guard. Si no ha completado estos pasos y desea seguirlos, consulte Tutorial 1: Creación de un clúster con Azure Linux con OS Guard para AKS.
- Necesita la versión más reciente de la CLI de Azure. Use el
az versioncomando para buscar la versión. Para actualizar a la versión más reciente, use elaz upgradecomando .
Instalar la extensión aks-preview de la CLI de Azure
Importante
Las características en versión preliminar de AKS están disponibles a elección del usuario y en régimen de autoservicio. Las versiones preliminares se proporcionan "tal cual" y "como están disponibles", y están excluidas de los Acuerdos de nivel de servicio y garantía limitada. Las versiones preliminares de AKS cuentan con soporte parcial por parte del servicio al cliente en la medida de lo posible. Por lo tanto, estas características no están diseñadas para su uso en producción. Para más información, consulte los siguientes artículos de soporte:
Instale la extensión
aks-previewmediante el comandoaz extension add.az extension add --name aks-previewActualiza a la última versión de la extensión mediante el comando
az extension update.az extension update --name aks-preview
Registrar el marcador de características de la Vista Previa de Azure Linux OS Guard
Registre la marca de características de
AzureLinuxOSGuardPreviewmediante el comandoaz feature register.az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Tarda unos minutos en que el estado muestre Registrado.
Comprobar el estado del registro mediante el comando
az feature show.az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Cuando el estado refleje Registrado, actualice el registro del
Microsoft.ContainerServiceproveedor de recursos mediante elaz provider registercomando .az provider register --namespace "Microsoft.ContainerService"
Adición de un grupo de nodos de Azure Linux con OS Guard
Agregue un grupo de nodos de Azure Linux con OS Guard al clúster existente mediante el az aks nodepool add comando y especifique --os-sku AzureLinuxOSGuard. También es necesario habilitar FIPS, arranque seguro y vtpm para usar Azure Linux con OS Guard. En el ejemplo siguiente se crea un grupo de nodos denominado osgNodepool que agrega tres nodos en el clúster testAzureLinuxOSGuardCluster en el grupo de recursos testAzureLinuxOSGuardResourceGroup . Las variables de entorno se declaran y se anexa un sufijo aleatorio al grupo de recursos y a los nombres de clúster para garantizar la unicidad.
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export NODEPOOL_NAME="np$RANDOM_SUFFIX"
az aks nodepool add \
--resource-group $RESOURCE_GROUP \
--cluster-name $CLUSTER_NAME \
--name $NODEPOOL_NAME \
--node-count 3 \
--os-sku AzureLinuxOSGuard
--node-osdisk-type Managed
--enable-fips-image
--enable-secure-boot
--enable-vtpm
Ejemplo de resultado:
{
"agentPoolType": "VirtualMachineScaleSets",
"count": 3,
"name": "osgNodepool",
"osType": "Linux",
"provisioningState": "Succeeded",
"resourceGroup": "testAzureLinuxOSGuardResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools"
}
Nota:
El nombre de un grupo de nodos debe comenzar con una letra minúscula y solo puede contener caracteres alfanuméricos. Para los grupos de nodos de Linux, la longitud debe estar entre uno y 12 caracteres.
Comprobación del estado del grupo de nodos
Compruebe el estado de los grupos de nodos mediante el comando az aks nodepool list y especifique el nombre del clúster y del grupo de recursos.
az aks nodepool list --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME
Ejemplo de resultado:
[
{
"agentPoolType": "VirtualMachineScaleSets",
"availabilityZones": null,
"count": 3,
"enableAutoScaling": false,
"enableEncryptionAtHost": false,
"enableFips": false,
"enableNodePublicIp": false,
"id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
"maxPods": 110,
"mode": "User",
"name": "npxxxxxx",
"nodeImageVersion": "AzureLinuxContainerHost-2025.10.03",
"orchestratorVersion": "1.32.6",
"osDiskSizeGb": 128,
"osDiskType": "Managed",
"osSku": "AzureLinux",
"osType": "Linux",
"powerState": {
"code": "Running"
},
"provisioningState": "Succeeded",
"resourceGroup": "myAKSResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools",
"vmSize": "Standard_DS2_v2"
},
{
"agentPoolType": "VirtualMachineScaleSets",
"availabilityZones": null,
"count": 3,
"enableAutoScaling": false,
"enableEncryptionAtHost": false,
"enableFips": false,
"enableNodePublicIp": false,
"id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
"maxPods": 110,
"mode": "User",
"name": "npxxxxxx",
"nodeImageVersion": "AzureLinuxOSGuard-2025.10.03",
"orchestratorVersion": "1.32.6",
"osDiskSizeGb": 128,
"osDiskType": "Managed",
"osSku": "AzureLinuxOSGuard",
"osType": "Linux",
"powerState": {
"code": "Running"
},
"provisioningState": "Succeeded",
"resourceGroup": "myAKSResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools",
"vmSize": "Standard_DS2_v2"
}
]
Pasos siguientes
En este tutorial, agregó un grupo de nodos de Azure Linux con OS Guard al clúster existente. En el siguiente tutorial, aprenderá a migrar nodos existentes a Azure Linux con OS Guard.