Tutorial: Adicionar um pool de nós do Azure Linux com OS Guard (visualização) a um cluster existente do Serviço Kubernetes do Azure (AKS)

Implantar e explorar

No Serviço Kubernetes do Azure (AKS), nós com as mesmas configurações são agrupados em grupos de nós. Cada pool de nós contém as máquinas virtuais (VMs) que executam seus aplicativos. No tutorial anterior, você criou um cluster do Azure Linux com o OS Guard com um único pool de nós. Para atender aos diferentes requisitos de computação, armazenamento ou segurança de seus aplicativos, você pode adicionar pools de nós de usuário.

Neste tutorial, parte dois de cinco, você aprenderá a:

Adicione um pool de nós do Azure Linux com OS Guard a um cluster existente.
Verifique o status dos pools de nós.

Em tutoriais posteriores, você aprenderá como migrar nós para o Azure Linux com o OS Guard e habilitar a telemetria para monitorar seus clusters.

Considerações e limitações

Antes de começar, revise as seguintes considerações e limitações para o Azure Linux com o OS Guard (visualização):

O Kubernetes versão 1.32.0 ou superior é necessário para o Azure Linux com OS Guard.
Todas as imagens do Azure Linux com OS Guard têm o Federal Information Process Standard (FIPS) e o Trusted Launch habilitados.
Os Azure CLI e ARM templates são os únicos métodos de implantação com suporte para o Azure Linux com o OS Guard no AKS em pré-visualização. O PowerShell e o Terraform não são suportados.
As imagens Arm64 não são suportadas com Azure Linux e OS Guard no AKS na versão preview.
NodeImage e None são os únicos canais de Atualização do SO suportados para o Azure Linux com o OS Guard no AKS. Unmanaged e SecurityPatch são incompatíveis com o Azure Linux com o OS Guard devido ao diretório /usr imutável.
O Streaming de Artefactos não é suportado.
O Pod Sandboxing não é suportado.
Não há suporte para Máquinas Virtuais Confidenciais (CVMs).
Não há suporte para máquinas virtuais (VMs) de geração 1.

Pré-requisitos

No tutorial anterior, você criou e implantou um cluster do Azure Linux com o OS Guard. Se você não concluiu essas etapas e deseja acompanhar, consulte Tutorial 1: Criar um cluster com o Azure Linux com o OS Guard for AKS.
Você precisa da versão mais recente da CLI do Azure. Use o az version comando para localizar a versão. Para atualizar para a versão mais recente, use o az upgrade comando.

Instalar a extensão aks-preview da CLI do Azure

Importante

Os recursos de pré-visualização do AKS estão disponíveis numa base de autosserviço e adesão voluntária. As visualizações prévias são fornecidas "como estão" e "conforme disponíveis" e são excluídas dos contratos de nível de serviço e da garantia limitada. As versões de teste do AKS são parcialmente cobertas pelo suporte ao cliente numa base de melhor esforço. Assim sendo, estas funcionalidades não se destinam ao uso em produção. Para obter mais informações, consulte os seguintes artigos de suporte:

Instale a aks-preview extensão usando o az extension add comando.
```
az extension add --name aks-preview
```
Atualize para a versão mais recente da extensão usando o az extension update comando.
```
az extension update --name aks-preview
```

Registrar o sinalizador do recurso Azure Linux OS Guard Preview

Registe o sinalizador de funcionalidade AzureLinuxOSGuardPreview com o comando az feature register.
```
az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
```
Leva alguns minutos para que o status mostre Registrado.

Verifique o status do registro usando o az feature show comando.

az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"

Quando o estado refletir Registado, atualize o Microsoft.ContainerService registo do provedor de recursos utilizando o az provider register comando.
```
az provider register --namespace "Microsoft.ContainerService"
```

Adicionar um Linux do Azure com o pool de nós do OS Guard

Adicione um pool de nós do Azure Linux com OS Guard ao cluster existente usando o az aks nodepool add comando e especifique --os-sku AzureLinuxOSGuard. Habilitar FIPS,inicialização segura e vtpm também são necessários para usar o Azure Linux com o OS Guard. O exemplo a seguir cria um pool de nós chamado osgNodepool que adiciona três nós no cluster testAzureLinuxOSGuardCluster no grupo de recursos testAzureLinuxOSGuardResourceGroup . As variáveis de ambiente são declaradas e um sufixo aleatório é anexado ao grupo de recursos e aos nomes de cluster para garantir exclusividade.

export RANDOM_SUFFIX=$(openssl rand -hex 3)
export NODEPOOL_NAME="np$RANDOM_SUFFIX"

az aks nodepool add \
    --resource-group $RESOURCE_GROUP \
    --cluster-name $CLUSTER_NAME \
    --name $NODEPOOL_NAME \
    --node-count 3 \
    --os-sku AzureLinuxOSGuard
    --node-osdisk-type Managed 
    --enable-fips-image 
    --enable-secure-boot 
    --enable-vtpm

Exemplo de saída:

{
  "agentPoolType": "VirtualMachineScaleSets",
  "count": 3,
  "name": "osgNodepool",
  "osType": "Linux",
  "provisioningState": "Succeeded",
  "resourceGroup": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "type": "Microsoft.ContainerService/managedClusters/agentPools"
}

Observação

O nome de um pool de nós deve começar com uma letra minúscula e só pode conter caracteres alfanuméricos. Para pools de nós Linux, o comprimento deve estar entre um e 12 caracteres.

Verificar o status do pool de nós

Verifique o estado dos pools de nós usando o comando az aks nodepool list e especifique o grupo de recursos e o nome do cluster.

az aks nodepool list --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME

Exemplo de saída:

[
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxContainerHost-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinux",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  },
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxOSGuard-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinuxOSGuard",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  }
]

Próximos passos

Neste tutorial, você adicionou um pool de nós do Azure Linux com OS Guard ao cluster existente. No próximo tutorial, você aprenderá a migrar nós existentes para o Azure Linux com o OS Guard.

Migrar para o Azure Linux com o OS Guard

Feedback

Esta página foi útil?

Last updated on 2025-11-05