Zelfstudie: Een cluster maken met Azure Linux met OS Guard (preview) voor Azure Kubernetes Service (AKS)

In deze zelfstudie, deel één van vijf, leert u het volgende:

In latere zelfstudies leert u hoe u een Azure Linux-knooppuntgroep met OS Guard toevoegt aan een bestaand cluster en bestaande knooppunten migreert naar Azure Linux met OS Guard.

Overwegingen en beperkingen

Bekijk voordat u begint de volgende overwegingen en beperkingen voor Azure Linux met OS Guard (preview):

• Kubernetes versie 1.32.0 of hoger is vereist voor Azure Linux met OS Guard.
• Alle Azure Linux-installatiekopieën met OS Guard hebben FIPS (Federal Information Process Standard) en Trusted Launch ingeschakeld.
• Azure CLI- en ARM-sjablonen zijn de enige ondersteunde implementatiemethoden voor Azure Linux met OS Guard in AKS in preview. PowerShell en Terraform worden niet ondersteund.
• Arm64-images worden niet ondersteund met Azure Linux met OS Guard in AKS in preview.
• NodeImage en None zijn de enige ondersteunde kanalen voor het upgraden van besturingssystemen voor Azure Linux met OS Guard op AKS. Unmanaged en SecurityPatch zijn niet compatibel met Azure Linux met OS Guard vanwege de onveranderbare /usr-map.
• Artefactstreaming wordt niet ondersteund.
• Pod Sandboxing wordt niet ondersteund.
• Confidential Virtual Machines (CVM's) worden niet ondersteund.
• Virtuele machines (VM's) van Gen 1 worden niet ondersteund.

Vereiste voorwaarden

• U hebt de nieuwste versie van Azure CLI nodig. Gebruik de az version opdracht om de versie te vinden. Gebruik de az upgrade opdracht om een upgrade uit te voeren naar de nieuwste versie.
• Installeer de aks-preview Azure CLI-extensie.
• Registreer de AzureLinuxOSGuardPreview functievlag.

De Azure CLI-extensie aks-preview installeren

• Installeer de aks-preview extensie met behulp van de az extension add opdracht.

  az extension add --name aks-preview
  

• Werk bij naar de nieuwste versie van de extensie met behulp van de az extension update opdracht.

  az extension update --name aks-preview
  

De Azure Linux OS Guard Preview-functievlag registreren

1. Registreer de AzureLinuxOSGuardPreview functievlag met behulp van de az feature register opdracht.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

   Het duurt enkele minuten voordat de status Geregistreerd wordt weergegeven.

2. Controleer de registratiestatus met behulp van de az feature show opdracht.

   az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

3. Wanneer de status Geregistreerd is, vernieuwt u de registratie van de Microsoft.ContainerService resourceprovider met behulp van de az provider register opdracht.

   az provider register --namespace "Microsoft.ContainerService"
   

Een brongroep maken

Een Azure-resourcegroep is een logische groep waarin Azure-resources worden geïmplementeerd en beheerd. Wanneer u een resourcegroep maakt, moet u een locatie opgeven. Deze locatie is:

• De opslaglocatie van de metagegevens van de resourcegroep.
• Waar uw resources worden uitgevoerd in Azure als u geen andere regio opgeeft bij het maken van een resource.

Maak een resourcegroep met behulp van de az group create opdracht. Voordat u de opdracht uitvoert, worden omgevingsvariabelen gedeclareerd om unieke resourcenamen voor elke implementatie te garanderen.

export REGION="EastUS2"
az group create --name $RESOURCE_GROUP_NAME --location $REGION

Voorbeelduitvoer:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx",
  "location": "EastUS2",
  "managedBy": null,
  "name": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "tags": null,
  "type": "Microsoft.Resources/resourceGroups"
}

Een Azure Linux-cluster maken met OS Guard (preview)

Maak een AKS-cluster met behulp van de az aks create opdracht met de parameter voor het --os-sku AzureLinuxOSGuard inrichten van een Azure Linux met OS Guard-cluster. Het inschakelen van FIPS, beveiligd opstarten en vtpm zijn vereist voor het gebruik van Azure Linux met OS Guard. In het volgende voorbeeld wordt een Azure Linux met OS Guard-cluster gemaakt:

az aks create --name $MY_AZ_CLUSTER_NAME --resource-group $MY_RESOURCE_GROUP_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm

Voorbeelduitvoer:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/testAzureLinuxOSGuardClusterxxxxx",
  "location": "WestUS2",
  "name": "testAzureLinuxOSGuardClusterxxxxx",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "type": "Microsoft.ContainerService/managedClusters"
}

Na enkele minuten is de opdracht voltooid en retourneert deze informatie over het cluster in JSON-indeling.

Verbinding maken met het cluster met behulp van kubectl

Configureer kubectl om verbinding te maken met uw Kubernetes-cluster met behulp van het az aks get-credentials commando. In het volgende voorbeeld worden aanmeldgegevens opgehaald voor het Azure Linux Container Host-cluster met behulp van de eerder gemaakte resourcegroep en clusternaam.

az aks get-credentials --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME

Controleer de verbinding met uw cluster met behulp van de kubectl get nodes opdracht om een lijst met de clusterknooppunten te retourneren.

kubectl get nodes

Voorbeelduitvoer:

NAME                           STATUS   ROLES   AGE     VERSION
aks-nodepool1-00000000-0       Ready    agent   10m     v1.20.7
aks-nodepool1-00000000-1       Ready    agent   10m     v1.20.7

Volgende stappen

In deze zelfstudie hebt u een Azure Linux-cluster met OS Guard gemaakt en geïmplementeerd. In de volgende zelfstudie leert u hoe u een Azure Linux-knooppuntgroep met OS Guard toevoegt aan een bestaand cluster.