Tutorial: Criar um cluster com o Azure Linux com o OS Guard (versão prévia) para o AKS (Serviço de Kubernetes do Azure)

Neste tutorial, parte um de cinco, você aprenderá a:

Em tutoriais posteriores, você aprenderá a adicionar um Linux do Azure com o pool de nós do OS Guard a um cluster existente e migrar nós existentes para o Linux do Azure com o OS Guard.

Considerações e limitações

Antes de começar, examine as seguintes considerações e limitações para o Azure Linux com o OS Guard (versão prévia):

• O Kubernetes versão 1.32.0 ou superior é necessário para o Linux do Azure com o SO Guard.
• Todas as imagens do Azure Linux com proteção de SO têm o padrão FIPS e o Início Confiável habilitados.
• Os modelos do ARM e a CLI do Azure são os únicos métodos de implantação com suporte para o Azure Linux com proteção de SO no AKS na versão prévia. Não há suporte para o PowerShell e o Terraform.
• Não há suporte para imagens do Arm64 no Azure Linux com proteção de SO no AKS na versão prévia.
• NodeImage e None são os únicos canais de atualização do sistema operacional com suporte para o Azure Linux com o OS Guard no AKS. Unmanaged e SecurityPatch são incompatíveis com o Azure Linux com o OS Guard devido ao diretório /usr imutável.
• O suporte para Streaming de Artefatos não está disponível.
• Não há suporte para o Pod Sandboxing.
• Não há suporte para CVMs (Máquinas Virtuais Confidenciais).
• Não há suporte para VMs (máquinas virtuais) de geração 1.

Pré-requisitos

• Você precisa instalar a versão mais recente da CLI do Azure. Use o az version comando para localizar a versão. Para atualizar para a versão mais recente, use o az upgrade comando.
• Instale a aks-preview extensão do Azure CLI.
• Registrar o sinalizador de recursoAzureLinuxOSGuardPreview.

Instalar a extensão aks-preview da CLI do Azure

• Instale a extensão aks-preview usando o comando az extension add.

  az extension add --name aks-preview
  

• Atualize para a última versão da extensão usando o comando az extension update.

  az extension update --name aks-preview
  

Registrar o sinalizador de versão prévia do recurso do Azure Linux com proteção de SO

1. Registre o sinalizador de recurso AzureLinuxOSGuardPreview usando o comando az feature register.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

   Demora alguns minutos para o status mostrar Registrado.

2. Verifique o status do registro usando o comando az feature show.

   az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

3. Quando o status mostrar Registrado, atualize o registro do provedor de recursos Microsoft.ContainerService usando o comando az provider register.

   az provider register --namespace "Microsoft.ContainerService"
   

Criar um grupo de recursos

Um grupo de recursos do Azure é um grupo lógico no qual os recursos do Azure são implantados e gerenciados. Ao criar um grupo de recursos, é necessário especificar um local. Este local é:

• O local de armazenamento dos metadados do grupo de recursos.
• Onde seus recursos são executados no Azure se você não especificar outra região ao criar um recurso.

Crie um grupo de recursos usando o comando az group create. Antes de executar o comando, as variáveis de ambiente são declaradas para garantir nomes de recursos exclusivos para cada implantação.

export REGION="EastUS2"
az group create --name $RESOURCE_GROUP_NAME --location $REGION

Exemplo de saída:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx",
  "location": "EastUS2",
  "managedBy": null,
  "name": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "tags": null,
  "type": "Microsoft.Resources/resourceGroups"
}

Criar um Azure Linux com o cluster do OS Guard (versão prévia)

Crie um cluster AKS usando o comando az aks create com o parâmetro --os-sku AzureLinuxOSGuard para provisionar um Azure Linux com cluster OS Guard. A habilitação do FIPS, da inicialização segura e do vtpm é necessária para usar o Linux do Azure com o OS Guard. O exemplo a seguir cria um Linux do Azure com o cluster do OS Guard:

az aks create --name $MY_AZ_CLUSTER_NAME --resource-group $MY_RESOURCE_GROUP_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm

Exemplo de saída:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/testAzureLinuxOSGuardClusterxxxxx",
  "location": "WestUS2",
  "name": "testAzureLinuxOSGuardClusterxxxxx",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "type": "Microsoft.ContainerService/managedClusters"
}

Após alguns minutos, o comando será concluído e retornará informações no formato JSON sobre o cluster.

Conectar-se ao cluster usando kubectl

Configure o kubectl para se conectar ao cluster do Kubernetes usando o comando az aks get-credentials. O exemplo a seguir obtém credenciais para o cluster do Host de Contêiner do Linux do Azure usando o grupo de recursos e o nome do cluster criados anteriormente:

az aks get-credentials --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME

Verifique a conexão com o cluster usando o kubectl get nodes comando para retornar uma lista dos nós de cluster.

kubectl get nodes

Exemplo de saída:

NAME                           STATUS   ROLES   AGE     VERSION
aks-nodepool1-00000000-0       Ready    agent   10m     v1.20.7
aks-nodepool1-00000000-1       Ready    agent   10m     v1.20.7

Próximas etapas

Neste tutorial, você criou e implantou um Azure Linux com o cluster do OS Guard. No próximo tutorial, você aprenderá a adicionar um Linux do Azure com o pool de nós do OS Guard a um cluster existente.