Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tutorial, la primera parte de cinco, aprenderá a:
- Instalar la CLI de Kubernetes:
kubectl. - Instale la extensión de la CLI de
aks-previewAzure. - Registrar la marca de característica
AzureLinuxOSGuardPreview. - Cree un grupo de recursos de Azure.
- Cree e implemente una instancia de Azure Linux con un clúster de OS Guard.
- Configure
kubectlpara conectarse con tu clúster OS Guard en Azure Linux.
En tutoriales posteriores, aprenderá a agregar un grupo de nodos de Azure Linux con OS Guard a un clúster existente y a migrar nodos existentes a Azure Linux con OS Guard.
Consideraciones y limitaciones
Antes de empezar, revise las siguientes consideraciones y limitaciones para Azure Linux con OS Guard (versión preliminar):
- La versión 1.32.0 o posterior de Kubernetes es necesaria para Azure Linux con OS Guard.
- Todas las imágenes de Azure Linux con OS Guard tienen habilitado el Estándar federal de proceso de información (FIPS) y el Inicio seguro.
- Las plantillas de la CLI de Azure y ARM son los únicos métodos de implementación admitidos para Azure Linux con OS Guard en AKS en versión preliminar. PowerShell y Terraform no están admitidos.
- Las imágenes de Arm64 no se admiten en Azure Linux con OS Guard en AKS en fase de vista previa.
-
NodeImageyNoneson los únicos canales de actualización del sistema operativo compatibles para Azure Linux con OS Guard en AKS.UnmanagedySecurityPatchson incompatibles con Azure Linux con OS Guard debido al directorio /usr inmutable. - No se admite el Streaming de artefactos.
- No se admite el Sandboxing de pods.
- No se admiten máquinas virtuales confidenciales (CVM).
- No se admiten máquinas virtuales (VM) gen 1.
Prerrequisitos
- Necesita la versión más reciente de la CLI de Azure. Use el
az versioncomando para buscar la versión. Para actualizar a la versión más reciente, use elaz upgradecomando . -
Instale la
aks-previewextensión de la CLI de Azure. -
Registro de la marca de característica
AzureLinuxOSGuardPreview.
Instalar la extensión aks-preview de la CLI de Azure
Importante
Las características en versión preliminar de AKS están disponibles a elección del usuario y en régimen de autoservicio. Las versiones preliminares se proporcionan "tal cual" y "como están disponibles", y están excluidas de los Acuerdos de nivel de servicio y garantía limitada. Las versiones preliminares de AKS cuentan con soporte parcial por parte del servicio al cliente en la medida de lo posible. Por lo tanto, estas características no están diseñadas para su uso en producción. Para más información, consulte los siguientes artículos de soporte:
Instale la extensión
aks-previewmediante el comandoaz extension add.az extension add --name aks-previewActualiza a la última versión de la extensión mediante el comando
az extension update.az extension update --name aks-preview
Registrar el marcador de características de la Vista Previa de Azure Linux OS Guard
Registre la marca de características de
AzureLinuxOSGuardPreviewmediante el comandoaz feature register.az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Tarda unos minutos en que el estado muestre Registrado.
Comprobar el estado del registro mediante el comando
az feature show.az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Cuando el estado refleje Registrado, actualice el registro del
Microsoft.ContainerServiceproveedor de recursos mediante elaz provider registercomando .az provider register --namespace "Microsoft.ContainerService"
Creación de un grupo de recursos
Un grupo de recursos de Azure es un grupo lógico en el que se implementan y administran los recursos de Azure. Al crear un grupo de recursos, es necesario especificar una ubicación. Esta ubicación es:
- Ubicación de almacenamiento de los metadatos del grupo de recursos.
- Dónde se ejecutan los recursos en Azure si no especifica otra región al crear un recurso.
Cree un grupo de recursos con el comando az group create. Antes de ejecutar el comando, las variables de entorno se declaran para garantizar nombres de recursos únicos para cada implementación.
export REGION="EastUS2"
az group create --name $RESOURCE_GROUP_NAME --location $REGION
Ejemplo de resultado:
{
"id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx",
"location": "EastUS2",
"managedBy": null,
"name": "testAzureLinuxOSGuardResourceGroupxxxxx",
"properties": {
"provisioningState": "Succeeded"
},
"tags": null,
"type": "Microsoft.Resources/resourceGroups"
}
Creación de un clúster de Azure Linux con OS Guard (versión preliminar)
Cree un clúster de AKS mediante el az aks create comando con el --os-sku AzureLinuxOSGuard parámetro para aprovisionar un clúster de Azure Linux con OS Guard. Se requiere habilitar FIPS, arranque seguro y vtpm para usar Azure Linux con OS Guard. En el ejemplo siguiente se crea una instancia de Azure Linux con un clúster de OS Guard:
az aks create --name $MY_AZ_CLUSTER_NAME --resource-group $MY_RESOURCE_GROUP_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm
Ejemplo de resultado:
{
"id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/testAzureLinuxOSGuardClusterxxxxx",
"location": "WestUS2",
"name": "testAzureLinuxOSGuardClusterxxxxx",
"properties": {
"provisioningState": "Succeeded"
},
"type": "Microsoft.ContainerService/managedClusters"
}
Transcurridos unos minutos, el comando se completa y devuelve información en formato JSON sobre el clúster.
Conexión al clúster mediante kubectl
Para configurar kubectl para conectarse a su clúster de Kubernetes, use el comando az aks get-credentials. En el ejemplo siguiente se obtienen credenciales para el clúster de Azure Linux Container Host mediante el grupo de recursos y el nombre del clúster creados anteriormente:
az aks get-credentials --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME
Compruebe la conexión al clúster mediante el kubectl get nodes comando para devolver una lista de los nodos del clúster.
kubectl get nodes
Ejemplo de resultado:
NAME STATUS ROLES AGE VERSION
aks-nodepool1-00000000-0 Ready agent 10m v1.20.7
aks-nodepool1-00000000-1 Ready agent 10m v1.20.7
Pasos siguientes
En este tutorial, ha creado e implementado una instancia de Azure Linux con un clúster de OS Guard. En el siguiente tutorial, aprenderá a agregar un grupo de nodos de Azure Linux con OS Guard a un clúster existente.