Zelfstudie: Knooppunten migreren naar Azure Linux met OS Guard (preview)

Implementeren en verkennen

In deze zelfstudie, deel drie van vijf, migreert u uw bestaande knooppunten naar Azure Linux met OS Guard. U kunt uw bestaande knooppunten migreren met behulp van een van de volgende methoden:

Verwijder bestaande knooppuntgroepen en voeg nieuwe Azure Linux toe met OS Guard-knooppuntgroepen.
In-place SKU-migratie van besturingssysteem.

Als u geen bestaande knooppunten hebt om te migreren, gaat u verder met de volgende zelfstudie. In latere zelfstudies leert u hoe u telemetrie en bewaking inschakelt in uw clusters en Azure Linux bijwerkt met OS Guard-knooppunten.

Overwegingen en beperkingen

Bekijk voordat u begint de volgende overwegingen en beperkingen voor Azure Linux met OS Guard (preview):

Kubernetes versie 1.32.0 of hoger is vereist voor Azure Linux met OS Guard.
Alle Azure Linux-installatiekopieën met OS Guard hebben FIPS (Federal Information Process Standard) en Trusted Launch ingeschakeld.
Azure CLI- en ARM-sjablonen zijn de enige ondersteunde implementatiemethoden voor Azure Linux met OS Guard in AKS in preview. PowerShell en Terraform worden niet ondersteund.
Arm64-images worden niet ondersteund met Azure Linux met OS Guard in AKS in preview.
NodeImage en None zijn de enige ondersteunde kanalen voor het upgraden van besturingssystemen voor Azure Linux met OS Guard op AKS. Unmanaged en SecurityPatch zijn niet compatibel met Azure Linux met OS Guard vanwege de onveranderbare /usr-map.
Artefactstreaming wordt niet ondersteund.
Pod Sandboxing wordt niet ondersteund.
Confidential Virtual Machines (CVM's) worden niet ondersteund.
Virtuele machines (VM's) van Gen 1 worden niet ondersteund.

Vereiste voorwaarden

In de vorige zelfstudie hebt u een Azure Linux gemaakt en geïmplementeerd met os Guard-cluster. Zie zelfstudie 1: Een cluster maken met Azure Linux met OS Guard voor AKS als u deze stappen nog niet hebt voltooid en u deze wilt volgen.
U hebt de nieuwste versie van Azure CLI nodig. Gebruik de az version opdracht om de versie te vinden. Gebruik de az upgrade opdracht om een upgrade uit te voeren naar de nieuwste versie.

De Azure CLI-extensie aks-preview installeren

Belangrijk

AKS preview-functies zijn beschikbaar op selfservice, opt-in basis. Previews worden geleverd 'zoals het is' en 'voor zover beschikbaar' en zijn uitgesloten van de serviceovereenkomsten en beperkte garantie. AKS-previews worden gedeeltelijk gedekt door klantondersteuning naar best vermogen. Zodoende zijn deze functies niet bedoeld voor productiegebruik. Zie de volgende ondersteuningsartikelen voor meer informatie:

Installeer de aks-preview extensie met behulp van de az extension add opdracht.
```
az extension add --name aks-preview
```
Werk bij naar de nieuwste versie van de extensie met behulp van de az extension update opdracht.
```
az extension update --name aks-preview
```

De Azure Linux OS Guard Preview-functie-vlag registreren

Registreer de AzureLinuxOSGuardPreview functievlag met behulp van de az feature register opdracht.
```
az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
```
Het duurt enkele minuten voordat de status Geregistreerd wordt weergegeven.

Controleer de registratiestatus met behulp van de az feature show opdracht.

az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"

Wanneer de status Geregistreerd is, vernieuwt u de registratie van de Microsoft.ContainerService resourceprovider met behulp van de az provider register opdracht.
```
az provider register --namespace "Microsoft.ContainerService"
```

Azure Linux toevoegen met OS Guard-knooppuntgroepen en bestaande knooppuntgroepen verwijderen

Voeg een nieuwe Azure Linux met OS Guard-knooppuntgroep toe met behulp van de az aks nodepool add opdracht. Met deze opdracht wordt een nieuwe knooppuntgroep aan uw cluster toegevoegd met de --mode System vlag, waardoor het een systeemknooppuntgroep wordt. Systeemknooppuntgroepen zijn vereist voor Azure Linux met OS Guard-clusters.

# Declare environment variables with a random suffix for uniqueness
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export NODE_POOL_NAME="np$RANDOM_SUFFIX"
az aks nodepool add --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME --name $NODE_POOL_NAME --mode System --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm

Voorbeelduitvoer:

{
  "id": "/subscriptions/xxxxx/resourceGroups/myResourceGroupxxx/providers/Microsoft.ContainerService/managedClusters/myAKSCluster/nodePools/systempool",
  "name": "systempool",
  "provisioningState": "Succeeded"
}

Verwijder uw bestaande knooppunten met behulp van de az aks nodepool delete opdracht.

az aks nodepool delete --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME --name $NODE_POOL_NAME

Beperkingen voor in-place SKU-migratie van het besturingssysteem

Er zijn verschillende instellingen waarmee de migratieaanvraag voor de SKU van het besturingssysteem kan worden geblokkeerd. Bekijk de volgende richtlijnen en beperkingen om een geslaagde migratie te garanderen:

De SKU-migratiefunctie van het besturingssysteem is niet beschikbaar via PowerShell of Azure Portal. Wanneer u de SKU-migratiefunctie van het besturingssysteem gebruikt met Azure Linux met OS Guard (preview) is deze niet beschikbaar via Terraform, PowerShell of Azure Portal.
De SKU-migratiefunctie van het besturingssysteem biedt geen ondersteuning voor het wijzigen van de naam van bestaande knooppuntgroepen.
Ubuntu, Azure Linux en Azure Linux met OS Guard zijn de enige ondersteunde Linux OS SKU-migratiedoelen.
Vertrouwde start is standaard vereist voor Azure Linux met OS Guard. U moet vertrouwde start hebben ingeschakeld om te migreren naar Azure Linux met OS Guard. Hiervoor moeten mogelijk nieuwe knooppuntgroepen worden gemaakt.
FIPS is vereist bij het inschakelen van Azure Linux met OS Guard. Als u momenteel geen FIPS-installatiekopie gebruikt, kunt u --enable-fips opnemen in de opdracht voor het bijwerken van de knooppuntgroep.
Virtuele machines (VM's) van Gen 1 worden niet ondersteund.
Een Ubuntu OS-SKU waarvoor UseGPUDedicatedVHD ingeschakeld is, kan geen SKU-migratie van het besturingssysteem uitvoeren.
Confidential Virtual Machines (CVM's) worden niet ondersteund.
Pod Sandboxing wordt niet ondersteund.
Migratie van windows-besturingssysteem-SKU's wordt niet ondersteund.
Migratie van os-SKU van Mariner naar Azure Linux wordt ondersteund, maar het terugdraaien naar Mariner wordt niet ondersteund.

Vereisten voor on-site SKU-migratie van het besturingssysteem (OS)

Een bestaand AKS-cluster met ten minste één Azure Linux-knooppuntgroep.
U wordt aangeraden ervoor te zorgen dat uw workloads met succes worden geconfigureerd en uitgevoerd op Azure Linux met os Guard-containerhost voordat u de SKU-migratiefunctie van het besturingssysteem probeert te gebruiken door een Azure Linux-cluster met OS Guard-cluster te implementeren in dev/prod en te controleren of uw service in orde blijft.
Zorg ervoor dat de migratiefunctie voor u in test/dev werkt voordat u het proces in een productiecluster gebruikt.
Zorg ervoor dat uw pods voldoende budget voor podonderbreking hebben, zodat AKS tijdens de upgrade pods tussen VM's kan verplaatsen.
U hebt Azure CLI versie 2.61.0 of hoger nodig. Gebruik de az version opdracht om de versie te vinden. Gebruik de az upgrade opdracht om een upgrade uit te voeren naar de nieuwste versie.

Een in-place SKU-migratie van het besturingssysteem uitvoeren

U kunt uw bestaande Ubuntu- of Azure Linux-knooppuntgroepen migreren naar Azure Linux met OS Guard door de OS-SKU van de knooppuntgroep te wijzigen, waarmee het cluster door het node-image upgrade proces wordt doorlopen. Voor deze nieuwe functie is het maken van nieuwe knooppuntgroepen niet vereist. In plaats daarvan worden de bestaande knooppuntgroepen automatisch opnieuw ingesteld.

Azure-CLI
ARM-sjabloon

Migreer de OS SKU van uw Azure Linux Container Host-knooppunt naar Azure Linux met OS Guard.

Migreer de SKU van het besturingssysteem van uw knooppuntgroep naar Azure Linux met OS Guard met behulp van de az aks nodepool update opdracht. Met deze opdracht wordt een nieuwe installatiekopie van uw knooppuntgroep geactiveerd, waarbij de SKU van het besturingssysteem van uw knooppuntgroep wordt bijgewerkt van Azure Linux naar Azure Linux met OS Guard. De SKU-wijziging van het besturingssysteem activeert een onmiddellijke upgradebewerking, die enkele minuten duurt.
```
az aks nodepool update --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME --name $NODE_POOL_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm
```
Voorbeelduitvoer:
```
{
  "id": "/subscriptions/xxxxx/resourceGroups/myResourceGroupxxx/providers/Microsoft.ContainerService/managedClusters/myAKSCluster/nodePools/nodepool1",
  "name": "nodepool1",
  "osSku": "AzureLinuxOSGuard",
  "provisioningState": "Succeeded"
}
```

Opmerking

Als u problemen ondervindt tijdens de migratie van de SKU van het besturingssysteem, kunt u terugdraaien naar uw vorige SKU van het besturingssysteem.

Voorbeeld van ARM-sjablonen

0base.json

 {
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-07-01",
      "name": "akstestcluster",
      "location": "[resourceGroup().location]",
      "tags": {
        "displayname": "Demo of AKS Nodepool Migration"
      },
      "identity": {
        "type": "SystemAssigned"
      },
      "properties": {
        "enableRBAC": true,
        "dnsPrefix": "testcluster",
        "agentPoolProfiles": [
          {
            "name": "testnp",
            "count": 3,
            "vmSize": "Standard_D4a_v4",
            "osType": "Linux",
            "osSku": "AzureLinux",
            "mode": "System"
          }
        ]
      }
    }
  ]
}

1mcupdate.json

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-07-01",
      "name": "akstestcluster",
      "location": "[resourceGroup().location]",
      "tags": {
        "displayname": "Demo of AKS Nodepool Migration"
      },
      "identity": {
        "type": "SystemAssigned"
      },
      "properties": {
        "enableRBAC": true,
        "dnsPrefix": "testcluster",
        "agentPoolProfiles": [
          {
            "name": "testnp",
            "osType": "Linux",
            "osSku": "AzureLinuxOSGuard",
            "mode": "System"
          }
        ]
      }
    }
  ]
}

2apupdate.json

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "apiVersion": "2023-07-01",
      "type": "Microsoft.ContainerService/managedClusters/agentPools",
      "name": "akstestcluster/testnp",
      "location": "[resourceGroup().location]",
      "properties": {
        "osType": "Linux",
        "osSku": "AzureLinux",
        "mode": "System"
      }
    }
  ]
}

Een testcluster implementeren

Maak een resourcegroep voor het testcluster met behulp van de az group create opdracht.
```
az group create --name testRG --location eastus
```
Implementeer een Azure Linux OS SKU-cluster met drie knooppunten met behulp van de az deployment group create opdracht en de 0base.json voorbeeld-ARM-sjabloon.
```
az deployment group create --resource-group testRG --template-file 0base.json
```
Migreer de SKU van uw systeemknooppuntgroep naar Azure Linux met OS Guard met behulp van de az deployment group create opdracht.
```
az deployment group create --resource-group testRG --template-file 1mcupdate.json
```
Migreer de SKU van het besturingssysteem van uw systeemknooppuntgroep terug naar Azure Linux met behulp van de az deployment group create opdracht.
```
az deployment group create --resource-group testRG --template-file 2apupdate.json
```

De migratie van de SKU van het besturingssysteem controleren

Zodra de migratie is voltooid op uw testclusters, moet u het volgende controleren om een geslaagde migratie te garanderen:

Als uw migratiedoel Azure Linux is met OS Guard, voert u de kubectl get nodes -o wide opdracht uit. De uitvoer moet worden weergegeven Microsoft Azure Linux 3.0 als de installatiekopieën van het besturingssysteem en .azl3 aan het einde van de kernelversie.
Voer de kubectl get pods -o wide -A opdracht uit om te controleren of al uw pods en daemonsets worden uitgevoerd in de nieuwe knooppuntgroep.
Voer de kubectl get nodes --show-labels opdracht uit om te controleren of alle knooppuntlabels in de bijgewerkte knooppuntgroep zijn wat u verwacht.

Aanbeveling

Het is raadzaam om de status van uw service een paar weken te controleren voordat u uw productieclusters migreert.

Terugdraaien naar uw vorige SKU van het besturingssysteem

Als u problemen ondervindt tijdens de migratie van de SKU van het besturingssysteem, kunt u terugdraaien naar uw vorige SKU van het besturingssysteem. Hiervoor moet u het veld os-SKU in uw sjabloon wijzigen en de implementatie opnieuw indienen, waardoor een andere upgradebewerking wordt geactiveerd en de knooppuntgroep wordt hersteld naar de vorige SKU van het besturingssysteem.

Opmerking

Migratie van besturingssysteem-SKU biedt geen ondersteuning voor terugdraaien naar OS SKU Mariner.

Ga terug naar de vorige SKU van het besturingssysteem met behulp van de az aks nodepool update opdracht. Met deze opdracht wordt de SKU van het besturingssysteem voor uw knooppuntgroep bijgewerkt van Azure Linux met OS Guard terug naar Azure Linux.

Volgende stappen

In deze zelfstudie hebt u bestaande knooppunten gemigreerd naar Azure Linux met OS Guard. In de volgende zelfstudie leert u hoe u telemetrie kunt inschakelen om uw clusters te bewaken.

Telemetrie en bewaking inschakelen

Feedback

Is deze pagina nuttig?

Last updated on 2025-11-05