Samouczek: tworzenie klastra za pomocą usługi Azure Linux z funkcją OS Guard (wersja zapoznawcza) dla usługi Azure Kubernetes Service (AKS)

Z tego samouczka dowiesz się, jak wykonać jedną z pięciu części:

W kolejnych samouczkach dowiesz się, jak dodać pulę węzłów Azure Linux z funkcją OS Guard do istniejącego klastra oraz jak migrować istniejące węzły do systemu Azure Linux z funkcją OS Guard.

Uwagi i ograniczenia

Przed rozpoczęciem zapoznaj się z następującymi zagadnieniami i ograniczeniami dotyczącymi platformy Azure dla systemu Linux z funkcją OS Guard (wersja zapoznawcza):

• Platforma Kubernetes w wersji 1.32.0 lub nowszej jest wymagana dla systemu Linux platformy Azure z funkcją OS Guard.
• Wszystkie obrazy systemu Azure Linux z OS Guard mają włączony standard Federal Information Processing Standard (FIPS) oraz Trusted Launch.
• Interfejs wiersza polecenia platformy Azure (Azure CLI) i szablony ARM są jedynymi obsługiwanymi metodami wdrażania dla Azure Linux z funkcją OS Guard w AKS w wersji preview. Program PowerShell i program Terraform nie są obsługiwane.
• Obrazy Arm64 nie są obsługiwane na platformie Azure Linux z funkcją OS Guard w usłudze AKS w wersji zapoznawczej.
• NodeImage i None są jedynymi obsługiwanymi kanałami uaktualniania systemu operacyjnego dla systemu Linux platformy Azure z funkcją OS Guard w usłudze AKS. Unmanaged i SecurityPatch są niezgodne z systemem Linux platformy Azure z funkcją OS Guard ze względu na niezmienny katalog /usr.
• Przesyłanie strumieniowe artefaktów nie jest obsługiwane.
• Pod Sandboxing nie jest obsługiwany.
• Poufne maszyny wirtualne (CVM) nie są obsługiwane.
• Maszyny wirtualne 1. generacji nie są obsługiwane.

Wymagania wstępne

• Potrzebna jest najnowsza wersja interfejsu wiersza polecenia platformy Azure. Użyj polecenia , az version aby znaleźć wersję. Aby przeprowadzić uaktualnienie do najnowszej wersji, użyj az upgrade polecenia .
• Zainstaluj aks-preview rozszerzenie Azure CLI.
• Zarejestruj flagę AzureLinuxOSGuardPreview funkcji.

Zainstaluj rozszerzenie aks-preview dla Azure CLI

• Zainstaluj rozszerzenie aks-preview przy użyciu polecenia az extension add.

  az extension add --name aks-preview
  

• Przeprowadź aktualizację do najnowszej wersji rozszerzenia przy użyciu az extension update polecenia .

  az extension update --name aks-preview
  

Rejestrowanie flagi funkcji Azure Linux OS Guard w wersji zapoznawczej

1. Zarejestruj flagę funkcji AzureLinuxOSGuardPreview za pomocą polecenia az feature register.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

   Wyświetlenie stanu Zarejestrowane trwa kilka minut.

2. Sprawdź stan rejestracji przy użyciu az feature show polecenia .

   az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

3. Gdy stan odzwierciedla Zarejestrowano, użyj polecenia az provider register, aby odświeżyć rejestrację dostawcy zasobów Microsoft.ContainerService.

   az provider register --namespace "Microsoft.ContainerService"
   

Tworzenie grupy zasobów

Grupa zasobów platformy Azure to logiczna grupa przeznaczona do wdrażania zasobów platformy Azure i zarządzania nimi. Podczas tworzenia grupy zasobów wymagane jest określenie lokalizacji. Ta lokalizacja to:

• Lokalizacja magazynu metadanych grupy zasobów.
• Gdzie zasoby działają na platformie Azure, jeśli nie określisz innego regionu podczas tworzenia zasobu.

Utwórz grupę zasobów przy użyciu polecenia az group create. Przed uruchomieniem polecenia zmienne środowiskowe są deklarowane w celu zapewnienia unikatowych nazw zasobów dla każdego wdrożenia.

export REGION="EastUS2"
az group create --name $RESOURCE_GROUP_NAME --location $REGION

Przykładowy wynik:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx",
  "location": "EastUS2",
  "managedBy": null,
  "name": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "tags": null,
  "type": "Microsoft.Resources/resourceGroups"
}

Tworzenie systemu Linux platformy Azure z klastrem OS Guard (wersja zapoznawcza)

Utwórz klaster AKS, używając polecenia az aks create z parametrem --os-sku AzureLinuxOSGuard, aby założyć klaster Azure Linux z funkcją OS Guard. Włączenie programu FIPS, bezpiecznego rozruchu i programu vtpm jest wymagane do korzystania z systemu Linux platformy Azure z funkcją OS Guard. Poniższy przykład umożliwia utworzenie systemu Linux platformy Azure z klastrem OS Guard:

az aks create --name $MY_AZ_CLUSTER_NAME --resource-group $MY_RESOURCE_GROUP_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm

Przykładowy wynik:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/testAzureLinuxOSGuardClusterxxxxx",
  "location": "WestUS2",
  "name": "testAzureLinuxOSGuardClusterxxxxx",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "type": "Microsoft.ContainerService/managedClusters"
}

Po kilku minutach polecenie zostanie wykonane i zwróci informacje o klastrze w formacie JSON.

Nawiązywanie połączenia z klastrem przy użyciu narzędzia kubectl

Skonfiguruj kubectl, aby nawiązać połączenie z klastrem Kubernetes za pomocą polecenia az aks get-credentials. Poniższy przykład pobiera poświadczenia dla klastra hostów kontenerów systemu Linux platformy Azure przy użyciu utworzonej wcześniej grupy zasobów i nazwy klastra:

az aks get-credentials --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME

Sprawdź połączenie z klastrem za pomocą polecenia , aby zwrócić listę węzłów klastra.

kubectl get nodes

Przykładowy wynik:

NAME                           STATUS   ROLES   AGE     VERSION
aks-nodepool1-00000000-0       Ready    agent   10m     v1.20.7
aks-nodepool1-00000000-1       Ready    agent   10m     v1.20.7

Dalsze kroki

W tym samouczku utworzono i wdrożono system Azure Linux z klastrem OS Guard. Z następnego samouczka dowiesz się, jak dodać system Azure Linux z pulą węzłów funkcji OS Guard do istniejącego klastra.