Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans Azure Kubernetes Service (AKS), les nœuds avec les mêmes configurations sont regroupés dans des pools de nœuds. Chaque pool de nœuds contient les machines virtuelles qui exécutent vos applications. Dans le tutoriel précédent, vous avez créé un cluster Azure Linux avec OS Guard avec un pool de nœuds unique. Pour répondre aux exigences de calcul, de stockage ou de sécurité variables de vos applications, vous pouvez ajouter des pools de nœuds utilisateur.
Dans ce tutoriel, la deuxième partie d’une série de cinq, vous apprenez à :
- Ajoutez un pool de nœuds Azure Linux avec OS Guard à un cluster existant.
- Vérifier l’état de vos pools de nœuds.
Dans les didacticiels ultérieurs, vous allez apprendre à migrer des nœuds vers Azure Linux avec OS Guard et à activer la télémétrie pour surveiller vos clusters.
Considérations et limitations
Avant de commencer, passez en revue les considérations et limitations suivantes pour Azure Linux avec OS Guard (préversion) :
- Kubernetes version 1.32.0 ou ultérieure est nécessaire pour Azure Linux avec OS Guard.
- Toutes les images Azure Linux avec protection du système d’exploitation ont Federal Information Process Standard (FIPS) et Lancement fiable activé.
- Les modèles Azure CLI et ARM sont les seules méthodes de déploiement prises en charge pour Azure Linux avec OS Guard sur AKS en préversion. PowerShell et Terraform ne sont pas pris en charge.
- Les images Arm64 ne sont pas prises en charge avec Azure Linux avec protection du système d’exploitation sur AKS en préversion.
-
NodeImageetNonesont les seuls canaux de mise à niveau du système d’exploitation pris en charge pour Azure Linux avec OS Guard sur AKS.UnmanagedetSecurityPatchsont incompatibles avec Azure Linux avec OS Guard en raison du répertoire /usr immuable. - Le streaming d’artéfacts n’est pas pris en charge.
- Le sandboxing des pods n’est pas pris en charge.
- Les machines virtuelles confidentielles ne sont pas prises en charge.
- Les machines virtuelles gen 1 ne sont pas prises en charge.
Prerequisites
- Dans le tutoriel précédent, vous avez créé et déployé un cluster Azure Linux avec OS Guard. Si vous n’avez pas effectué ces étapes et que vous souhaitez le suivre, consultez le tutoriel 1 : Créer un cluster avec Azure Linux avec OS Guard pour AKS.
- Vous devez disposer de la dernière version d’Azure CLI. Utilisez la
az versioncommande pour rechercher la version. Pour effectuer une mise à niveau vers la dernière version, utilisez laaz upgradecommande.
Installer l’extension Azure CLI aks-preview
Important
Les fonctionnalités d’évaluation AKS sont disponibles en libre-service et font l’objet d’un abonnement. Les versions d'essai sont fournies « en l’état » et « selon disponibilité », et elles sont exclues des contrats de niveau de service et de la garantie limitée. Les versions préliminaires AKS sont, dans la mesure du possible, partiellement couvertes par le service clientèle. Par conséquent, ces fonctionnalités ne sont pas destinées à une utilisation en production. Pour plus d’informations, consultez les articles de support suivants :
Installez l'extension
aks-previewà l'aide de la commandeaz extension add.az extension add --name aks-previewMettez à jour vers la dernière version de l’extension à l’aide de la commande
az extension update.az extension update --name aks-preview
Enregistrer le drapeau de fonctionnalité d’Azure Linux OS Guard (préversion)
Inscrivez l’indicateur de fonctionnalité
AzureLinuxOSGuardPreviewà l’aide de la commandeaz feature register.az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Quelques minutes sont nécessaires pour que l’état s’affiche Registered (Inscrit).
Vérifiez l’état de l’inscription en utilisant la commande
az feature show.az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Lorsque l’état reflète Inscrit, actualisez l’inscription du fournisseur de ressources en utilisant la commande
az provider register.az provider register --namespace "Microsoft.ContainerService"
Ajouter un Linux Azure avec un pool de nœuds OS Guard
Ajoutez un pool de nœuds Azure Linux avec OS Guard à votre cluster existant à l’aide de la az aks nodepool add commande et spécifiez --os-sku AzureLinuxOSGuard. L’activation de FIPS, de démarrage sécurisé et de vtpm est également nécessaire pour utiliser Azure Linux avec OS Guard. L’exemple suivant crée un pool de nœuds nommé osgNodepool qui ajoute trois nœuds dans le cluster testAzureLinuxOSGuardCluster dans le groupe de ressources testAzureLinuxOSGuardResourceGroup . Les variables d’environnement sont déclarées et un suffixe aléatoire est ajouté au groupe de ressources et aux noms de cluster pour garantir l’unicité.
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export NODEPOOL_NAME="np$RANDOM_SUFFIX"
az aks nodepool add \
--resource-group $RESOURCE_GROUP \
--cluster-name $CLUSTER_NAME \
--name $NODEPOOL_NAME \
--node-count 3 \
--os-sku AzureLinuxOSGuard
--node-osdisk-type Managed
--enable-fips-image
--enable-secure-boot
--enable-vtpm
Exemple de sortie :
{
"agentPoolType": "VirtualMachineScaleSets",
"count": 3,
"name": "osgNodepool",
"osType": "Linux",
"provisioningState": "Succeeded",
"resourceGroup": "testAzureLinuxOSGuardResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools"
}
Note
Le nom d’un pool de nœuds doit commencer par une lettre minuscule et ne peut contenir que des caractères alphanumériques. Pour les pools de nœuds Linux, la longueur doit être comprise entre 1 et 12 caractères.
Vérifier l’état du pool de nœuds
Vérifiez l’état de vos pools de nœuds avec la commande az aks nodepool list, puis spécifiez votre groupe de ressources et le nom du cluster.
az aks nodepool list --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME
Exemple de sortie :
[
{
"agentPoolType": "VirtualMachineScaleSets",
"availabilityZones": null,
"count": 3,
"enableAutoScaling": false,
"enableEncryptionAtHost": false,
"enableFips": false,
"enableNodePublicIp": false,
"id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
"maxPods": 110,
"mode": "User",
"name": "npxxxxxx",
"nodeImageVersion": "AzureLinuxContainerHost-2025.10.03",
"orchestratorVersion": "1.32.6",
"osDiskSizeGb": 128,
"osDiskType": "Managed",
"osSku": "AzureLinux",
"osType": "Linux",
"powerState": {
"code": "Running"
},
"provisioningState": "Succeeded",
"resourceGroup": "myAKSResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools",
"vmSize": "Standard_DS2_v2"
},
{
"agentPoolType": "VirtualMachineScaleSets",
"availabilityZones": null,
"count": 3,
"enableAutoScaling": false,
"enableEncryptionAtHost": false,
"enableFips": false,
"enableNodePublicIp": false,
"id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
"maxPods": 110,
"mode": "User",
"name": "npxxxxxx",
"nodeImageVersion": "AzureLinuxOSGuard-2025.10.03",
"orchestratorVersion": "1.32.6",
"osDiskSizeGb": 128,
"osDiskType": "Managed",
"osSku": "AzureLinuxOSGuard",
"osType": "Linux",
"powerState": {
"code": "Running"
},
"provisioningState": "Succeeded",
"resourceGroup": "myAKSResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools",
"vmSize": "Standard_DS2_v2"
}
]
Étapes suivantes
Dans ce tutoriel, vous avez ajouté un pool de nœuds Azure Linux avec OS Guard à votre cluster existant. Dans le tutoriel suivant, vous allez apprendre à migrer des nœuds existants vers Azure Linux avec OS Guard.