Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Neste tutorial, parte um de cinco, você aprenderá a:
- Instale a CLI do Kubernetes,
kubectl. - Instale a extensão CLI do
aks-previewAzure. - Registe o sinalizador de recurso
AzureLinuxOSGuardPreview. - Crie um grupo de recursos do Azure.
- Crie e implante um cluster do Azure Linux com o OS Guard.
- Configure
kubectlpara se conectar ao seu cluster do Azure Linux com o sistema de proteção OS Guard.
Em tutoriais posteriores, você aprenderá como adicionar um pool de nós do Azure Linux com OS Guard a um cluster existente e migrar nós existentes para o Azure Linux com o OS Guard.
Considerações e limitações
Antes de começar, revise as seguintes considerações e limitações para o Azure Linux com o OS Guard (visualização):
- O Kubernetes versão 1.32.0 ou superior é necessário para o Azure Linux com OS Guard.
- Todas as imagens do Azure Linux com OS Guard têm o Federal Information Process Standard (FIPS) e o Trusted Launch habilitados.
- Os Azure CLI e ARM templates são os únicos métodos de implantação com suporte para o Azure Linux com o OS Guard no AKS em pré-visualização. O PowerShell e o Terraform não são suportados.
- As imagens Arm64 não são suportadas com Azure Linux e OS Guard no AKS na versão preview.
-
NodeImageeNonesão os únicos canais de Atualização do SO suportados para o Azure Linux com o OS Guard no AKS.UnmanagedeSecurityPatchsão incompatíveis com o Azure Linux com o OS Guard devido ao diretório /usr imutável. - O Streaming de Artefactos não é suportado.
- O Pod Sandboxing não é suportado.
- Não há suporte para Máquinas Virtuais Confidenciais (CVMs).
- Não há suporte para máquinas virtuais (VMs) de geração 1.
Pré-requisitos
- Você precisa da versão mais recente da CLI do Azure. Use o
az versioncomando para localizar a versão. Para atualizar para a versão mais recente, use oaz upgradecomando. -
Instale a
aks-previewextensão da CLI do Azure. -
Registre o sinalizador de
AzureLinuxOSGuardPreviewrecurso.
Instalar a extensão aks-preview da CLI do Azure
Importante
Os recursos de pré-visualização do AKS estão disponíveis numa base de autosserviço e adesão voluntária. As visualizações prévias são fornecidas "como estão" e "conforme disponíveis" e são excluídas dos contratos de nível de serviço e da garantia limitada. As versões de teste do AKS são parcialmente cobertas pelo suporte ao cliente numa base de melhor esforço. Assim sendo, estas funcionalidades não se destinam ao uso em produção. Para obter mais informações, consulte os seguintes artigos de suporte:
Instale a
aks-previewextensão usando oaz extension addcomando.az extension add --name aks-previewAtualize para a versão mais recente da extensão usando o
az extension updatecomando.az extension update --name aks-preview
Registe o sinalizador de função do Azure Linux OS Guard Preview
Registe o sinalizador de funcionalidade
AzureLinuxOSGuardPreviewcom o comandoaz feature register.az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Leva alguns minutos para que o status mostre Registrado.
Verifique o status do registro usando o
az feature showcomando.az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Quando o status refletir Registrado, atualize o
Microsoft.ContainerServiceregistro do provedor de recursos usando oaz provider registercomando.az provider register --namespace "Microsoft.ContainerService"
Criar um grupo de recursos
Um grupo de recursos do Azure é um grupo lógico, no qual os recursos do Azure são implementados e geridos. Ao criar um grupo de recursos, é necessário especificar um local. Esta localização é:
- O local de armazenamento dos metadados do grupo de recursos.
- Onde seus recursos são executados no Azure se você não especificar outra região ao criar um recurso.
Crie um grupo de recursos usando o comando az group create. Antes de executar o comando, as variáveis de ambiente são declaradas para garantir nomes de recursos exclusivos para cada implantação.
export REGION="EastUS2"
az group create --name $RESOURCE_GROUP_NAME --location $REGION
Exemplo de saída:
{
"id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx",
"location": "EastUS2",
"managedBy": null,
"name": "testAzureLinuxOSGuardResourceGroupxxxxx",
"properties": {
"provisioningState": "Succeeded"
},
"tags": null,
"type": "Microsoft.Resources/resourceGroups"
}
Criar um cluster do Azure Linux com OS Guard (visualização)
Crie um cluster AKS usando o az aks create comando com o --os-sku AzureLinuxOSGuard parâmetro para provisionar um cluster do Azure Linux com o OS Guard. Habilitar FIPS,inicialização segura e vtpm são necessários para usar o Azure Linux com o OS Guard. O exemplo a seguir cria um cluster do Azure Linux com o OS Guard:
az aks create --name $MY_AZ_CLUSTER_NAME --resource-group $MY_RESOURCE_GROUP_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm
Exemplo de saída:
{
"id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/testAzureLinuxOSGuardClusterxxxxx",
"location": "WestUS2",
"name": "testAzureLinuxOSGuardClusterxxxxx",
"properties": {
"provisioningState": "Succeeded"
},
"type": "Microsoft.ContainerService/managedClusters"
}
Após alguns minutos, o comando conclui e retorna informações formatadas em JSON sobre o cluster.
Conectar-se ao cluster usando kubectl
Configure kubectl para se conectar ao cluster do Kubernetes usando o az aks get-credentials comando. O exemplo a seguir obtém credenciais para o cluster Host de Contêiner Linux do Azure usando o grupo de recursos e o nome do cluster criados anteriormente:
az aks get-credentials --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME
Verifique a conexão com o cluster usando o kubectl get nodes comando para retornar uma lista dos nós do cluster.
kubectl get nodes
Exemplo de saída:
NAME STATUS ROLES AGE VERSION
aks-nodepool1-00000000-0 Ready agent 10m v1.20.7
aks-nodepool1-00000000-1 Ready agent 10m v1.20.7
Próximos passos
Neste tutorial, você criou e implantou um cluster do Azure Linux com o OS Guard. No próximo tutorial, você aprenderá a adicionar um pool de nós do Azure Linux com OS Guard a um cluster existente.