Tutorial: Adicionar um pool de nós do Azure Linux com o OS Guard (versão prévia) a um cluster existente do AKS (Serviço de Kubernetes do Azure)

Implantar e explorar

No AKS (Serviço de Kubernetes do Azure), os nós com as mesmas configurações são agrupados em pools de nós. Cada pool de nós contém as VMs (máquinas virtuais) que executam seus aplicativos. No tutorial anterior, você criou um cluster do Azure Linux com proteção de SO com um só pool de nós. Para atender aos diferentes requisitos de computação, armazenamento ou segurança de seus aplicativos, você pode adicionar pools de nós de usuário.

Neste tutorial, parte dois de cinco, você aprenderá o seguinte:

Adicione um pool de nós do Azure Linux com proteção de SO a um cluster existente.
Verificar o status dos pools de nós.

Em tutoriais posteriores, você aprenderá a migrar nós para o Linux do Azure com o OS Guard e habilitar a telemetria para monitorar seus clusters.

Considerações e limitações

Antes de começar, examine as seguintes considerações e limitações para o Azure Linux com o OS Guard (versão prévia):

O Kubernetes versão 1.32.0 ou superior é necessário para o Linux do Azure com o SO Guard.
Todas as imagens do Azure Linux com proteção de SO têm o padrão FIPS e o início confiável habilitados.
Os modelos do ARM e a CLI do Azure são os únicos métodos de implantação com suporte para o Azure Linux com proteção de SO no AKS na versão prévia. Não há suporte para o PowerShell e o Terraform.
Não há suporte para imagens do Arm64 no Azure Linux com proteção de SO no AKS na versão prévia.
NodeImage e None são os únicos canais de atualização do sistema operacional com suporte para o Azure Linux com o OS Guard no AKS. Unmanaged e SecurityPatch são incompatíveis com o Azure Linux com o OS Guard devido ao diretório /usr imutável.
O suporte para Streaming de Artefatos não está disponível.
Não há suporte para o Pod Sandboxing.
Não há suporte para CVMs (Máquinas Virtuais Confidenciais).
Não há suporte para VMs (máquinas virtuais) de geração 1.

Pré-requisitos

No tutorial anterior, você criou e implantou um Azure Linux com o cluster do OS Guard. Se você ainda não concluiu essas etapas e deseja acompanhar, confira o Tutorial 1: Criar um cluster com o Azure Linux com o OS Guard para AKS.
Você precisa instalar a versão mais recente da CLI do Azure. Use o az version comando para localizar a versão. Para atualizar para a versão mais recente, use o az upgrade comando.

Instalar a extensão aks-preview da CLI do Azure

Importante

As funcionalidades em versão preliminar do AKS estão disponíveis de forma optativa e por autoatendimento. As versões prévias são fornecidas “no estado em que se encontram” e “conforme disponíveis” e são excluídas dos contratos de nível de serviço e da garantia limitada. As versões prévias do AKS são parcialmente cobertas pelo suporte ao cliente em uma base de melhor esforço. Dessa forma, esses recursos não são destinados ao uso em produção. Para obter mais informações, consulte os seguintes artigos:

Instale a extensão aks-preview usando o comando az extension add.
```
az extension add --name aks-preview
```
Atualize para a última versão da extensão usando o comando az extension update.
```
az extension update --name aks-preview
```

Registrar o sinalizador de versão prévia do recurso do Azure Linux com proteção de SO

Registre o sinalizador de recurso AzureLinuxOSGuardPreview usando o comando az feature register.
```
az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
```
Demora alguns minutos para o status mostrar Registrado.

Verifique o status do registro usando o comando az feature show.

az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"

Quando o status mostrar Registrado, atualize o registro do provedor de recursos Microsoft.ContainerService usando o comando az provider register.
```
az provider register --namespace "Microsoft.ContainerService"
```

Adicionar um pool de nós Azure Linux com proteção do OS Guard

Adicione um Azure Linux com o pool de nós do OS Guard ao cluster existente usando o az aks nodepool add comando e especifique --os-sku AzureLinuxOSGuard. Habilitar o FIPS, a inicialização segura e o vtpm também são necessários para usar o Linux do Azure com o OS Guard. O exemplo a seguir cria um pool de nós chamado osgNodepool que adiciona três nós no cluster testAzureLinuxOSGuardCluster no grupo de recursos testAzureLinuxOSGuardResourceGroup . Variáveis de ambiente são declaradas e um sufixo aleatório é acrescentado ao grupo de recursos e nomes de cluster para garantir a exclusividade.

export RANDOM_SUFFIX=$(openssl rand -hex 3)
export NODEPOOL_NAME="np$RANDOM_SUFFIX"

az aks nodepool add \
    --resource-group $RESOURCE_GROUP \
    --cluster-name $CLUSTER_NAME \
    --name $NODEPOOL_NAME \
    --node-count 3 \
    --os-sku AzureLinuxOSGuard
    --node-osdisk-type Managed 
    --enable-fips-image 
    --enable-secure-boot 
    --enable-vtpm

Exemplo de saída:

{
  "agentPoolType": "VirtualMachineScaleSets",
  "count": 3,
  "name": "osgNodepool",
  "osType": "Linux",
  "provisioningState": "Succeeded",
  "resourceGroup": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "type": "Microsoft.ContainerService/managedClusters/agentPools"
}

Observação

O nome de um pool de nós deve começar com uma letra minúscula e só pode conter caracteres alfanuméricos. Para os pools de nós do Linux, o comprimento precisa estar entre 1 e 12 caracteres.

Verificar o status do pool de nós

Verifique o status dos pools de nós usando o comando az aks nodepool list e especifique o grupo de recursos e o nome do cluster.

az aks nodepool list --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME

Exemplo de saída:

[
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxContainerHost-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinux",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  },
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxOSGuard-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinuxOSGuard",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  }
]

Próximas etapas

Neste tutorial, você adicionou um Azure Linux com o pool de nós do OS Guard ao cluster existente. No próximo tutorial, você aprenderá a migrar nós existentes para o Linux do Azure com o OS Guard.

Migrar para o Azure Linux com o OS Guard

Comentários

Esta página foi útil?

Last updated on 2025-11-05