Udostępnij przez

Samouczek: Dodawanie puli węzłów z systemem Azure Linux z funkcją OS Guard (wersja zapoznawcza) do istniejącego klastra usługi Azure Kubernetes Service (AKS)

Wdrażanie i eksplorowanie

W usłudze Azure Kubernetes Service (AKS) węzły z tymi samymi konfiguracjami są grupowane razem w pule węzłów. Każda pula węzłów zawiera maszyny wirtualne, które uruchamiają aplikacje. W poprzednim samouczku utworzono klaster Azure Linux z funkcją OS Guard oraz z pojedynczą pulą węzłów. Aby spełnić różne wymagania dotyczące zasobów obliczeniowych, magazynu lub zabezpieczeń aplikacji, możesz dodać pule węzłów użytkownika.

Z tego samouczka dowiesz się, jak:

  • Dodaj pulę węzłów OS Guard z systemem Linux na platformie Azure do istniejącego klastra.
  • Sprawdź stan pul węzłów.

W kolejnych samouczkach dowiesz się, jak migrować węzły do systemu Linux platformy Azure za pomocą funkcji OS Guard i włączyć telemetrię do monitorowania klastrów.

Uwagi i ograniczenia

Przed rozpoczęciem zapoznaj się z następującymi zagadnieniami i ograniczeniami dotyczącymi platformy Azure dla systemu Linux z funkcją OS Guard (wersja zapoznawcza):

  • Platforma Kubernetes w wersji 1.32.0 lub nowszej jest wymagana dla systemu Linux platformy Azure z funkcją OS Guard.
  • Wszystkie obrazy systemu Azure Linux z OS Guard mają włączony standard Federal Information Processing Standard (FIPS) oraz Trusted Launch.
  • Interfejs wiersza polecenia platformy Azure (Azure CLI) i szablony ARM są jedynymi obsługiwanymi metodami wdrażania dla Azure Linux z funkcją OS Guard w AKS w wersji preview. Program PowerShell i program Terraform nie są obsługiwane.
  • Obrazy Arm64 nie są obsługiwane na platformie Azure Linux z funkcją OS Guard w usłudze AKS w wersji zapoznawczej.
  • NodeImage i None są jedynymi obsługiwanymi kanałami uaktualniania systemu operacyjnego dla systemu Linux platformy Azure z funkcją OS Guard w usłudze AKS. Unmanaged i SecurityPatch są niezgodne z systemem Linux platformy Azure z funkcją OS Guard ze względu na niezmienny katalog /usr.
  • Przesyłanie strumieniowe artefaktów nie jest obsługiwane.
  • Pod Sandboxing nie jest obsługiwany.
  • Poufne maszyny wirtualne (CVM) nie są obsługiwane.
  • Maszyny wirtualne 1. generacji nie są obsługiwane.

Wymagania wstępne

Zainstaluj rozszerzenie aks-preview dla Azure CLI

Ważne

Funkcje usługi AKS w wersji zapoznawczej są dostępne na zasadzie samoobsługi i wymagają zapisania się. Wersje zapoznawcze są udostępniane w wersji "as is" i "jako dostępne" i są wykluczone z umów dotyczących poziomu usług i ograniczonej gwarancji. Wersje zapoznawcze usługi AKS są częściowo objęte pomocą techniczną dla klientów, świadczoną w miarę możliwości. W związku z tym te funkcje nie są przeznaczone do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz następujące artykuły pomocy technicznej:

  • Zainstaluj rozszerzenie aks-preview przy użyciu polecenia az extension add.

    az extension add --name aks-preview

  • Przeprowadź aktualizację do najnowszej wersji rozszerzenia przy użyciu az extension update polecenia .

    az extension update --name aks-preview

Rejestrowanie flagi funkcji Azure Linux OS Guard w wersji zapoznawczej

  1. Zarejestruj flagę funkcji AzureLinuxOSGuardPreview za pomocą polecenia az feature register.

    az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"

    Wyświetlenie stanu Zarejestrowane trwa kilka minut.

  2. Sprawdź stan rejestracji przy użyciu az feature show polecenia .

    az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"

  3. Gdy stan odzwierciedla Zarejestrowano, użyj polecenia az provider register, aby odświeżyć rejestrację dostawcy zasobów Microsoft.ContainerService.

    az provider register --namespace "Microsoft.ContainerService"

Dodaj pulę węzłów dla systemu Linux na platformie Azure z funkcją OS Guard

Dodaj pulę węzłów Azure Linux z funkcją OS Guard do istniejącego klastra przy użyciu polecenia az aks nodepool add i określ --os-sku AzureLinuxOSGuard. Włączenie programu FIPS, bezpiecznego rozruchu i protokołu vtpm jest również wymagane do korzystania z systemu Linux platformy Azure z funkcją OS Guard. Poniższy przykład tworzy pulę węzłów o nazwie osgNodepool, która dodaje trzy węzły w klastrze testAzureLinuxOSGuardCluster w grupie zasobów testAzureLinuxOSGuardResourceGroup. Zmienne środowiskowe są deklarowane, a losowy sufiks jest dołączany do grupy zasobów i nazw klastrów w celu zapewnienia unikatowości.

export RANDOM_SUFFIX=$(openssl rand -hex 3)
export NODEPOOL_NAME="np$RANDOM_SUFFIX"

az aks nodepool add \
    --resource-group $RESOURCE_GROUP \
    --cluster-name $CLUSTER_NAME \
    --name $NODEPOOL_NAME \
    --node-count 3 \
    --os-sku AzureLinuxOSGuard
    --node-osdisk-type Managed 
    --enable-fips-image 
    --enable-secure-boot 
    --enable-vtpm

Przykładowy wynik:

{
  "agentPoolType": "VirtualMachineScaleSets",
  "count": 3,
  "name": "osgNodepool",
  "osType": "Linux",
  "provisioningState": "Succeeded",
  "resourceGroup": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "type": "Microsoft.ContainerService/managedClusters/agentPools"
}

Uwaga / Notatka

Nazwa puli węzłów musi zaczynać się od małej litery i może zawierać tylko znaki alfanumeryczne. W przypadku pul węzłów systemu Linux długość musi zawierać się między jednym i 12 znakami.

Sprawdź stan puli węzłów

Sprawdź stan pul węzłów przy użyciu az aks nodepool list polecenia i określ nazwę grupy zasobów i klastra.

az aks nodepool list --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME

Przykładowy wynik:

[
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxContainerHost-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinux",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  },
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxOSGuard-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinuxOSGuard",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  }
]

Dalsze kroki

W tym samouczku dodałeś do istniejącego klastra pulę węzłów Linux na platformie Azure z funkcją OS Guard. W następnym samouczku dowiesz się, jak migrować istniejące węzły do systemu Linux platformy Azure za pomocą funkcji OS Guard.

Migrowanie do platformy Azure dla systemu Linux przy użyciu funkcji OS Guard

  • Last updated on