Nasazení plně spravované skupiny prostředků pomocí uzamčení skupiny prostředků uzlu (Preview) ve službě Azure Kubernetes Service (AKS)
Článek
AKS nasadí infrastrukturu do vašeho předplatného pro připojení k aplikacím a jejich spouštění. Změny provedené přímo u prostředků ve skupině prostředků uzlu můžou ovlivnit operace clusteru nebo způsobit budoucí problémy. Například škálování, úložiště nebo konfigurace sítě by se mělo provádět prostřednictvím rozhraní Kubernetes API, a ne přímo na těchto prostředcích.
Pokud chcete zabránit změnám ve skupině prostředků uzlu, můžete použít přiřazení zamítnutí a blokovat uživatelům úpravu prostředků vytvořených v rámci clusteru AKS.
Důležité
Funkce AKS ve verzi Preview jsou k dispozici na samoobslužné bázi. Verze Preview jsou poskytovány "tak, jak jsou" a "dostupné", a jsou vyloučené ze smluv o úrovni služeb a omezené záruky. Verze Preview AKS jsou částečně pokryty zákaznickou podporou na základě maximálního úsilí. Proto tyto funkce nejsou určené pro produkční použití. Další informace najdete v následujících článcích podpory:
Než začnete, potřebujete nainstalovat a nakonfigurovat následující prostředky:
Azure CLI verze 2.44.0 nebo novější. Spuštěním vyhledejte az --version aktuální verzi. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.
Rozšíření aks-preview verze 0.5.126 nebo novější.
Příznak NRGLockdownPreview funkce zaregistrovaný ve vašem předplatném.
Instalace rozšíření rozhraní příkazového aks-preview řádku
# Install the aks-preview extension
az extension add --name aks-preview
# Update to the latest version of the aks-preview extension
az extension update --name aks-preview
Registrace příznaku NRGLockdownPreview funkce
NRGLockdownPreview Pomocí příkazu zaregistrujte příznak az feature register funkce.
az feature register --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"
Zobrazení stavu Zaregistrované trvá několik minut.
az feature show --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"
Jakmile se stav projeví jako zaregistrovaný, aktualizujte registraci poskytovatele prostředků Microsoft.ContainerService pomocí az provider register příkazu.
az provider register --namespace Microsoft.ContainerService
Vytvoření clusteru AKS s uzamčením skupiny prostředků uzlu
Vytvořte cluster s uzamčením skupiny prostředků uzlu pomocí az aks create příkazu s příznakem nastaveným --nrg-lockdown-restriction-level na ReadOnly. Tato konfigurace umožňuje zobrazit prostředky, ale ne je upravovat.
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP_NAME \
--nrg-lockdown-restriction-level ReadOnly \
--generate-ssh-keys
Aktualizace existujícího clusteru pomocí uzamčení skupiny prostředků uzlu
Aktualizujte existující cluster s uzamčením skupiny prostředků uzlu pomocí az aks update příkazu s příznakem nastaveným --nrg-lockdown-restriction-level na ReadOnly. Tato konfigurace umožňuje zobrazit prostředky, ale ne je upravovat.
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly
Odebrání uzamčení skupiny prostředků uzlu z clusteru
Odebrání uzamčení skupiny prostředků uzlu z existujícího clusteru pomocí az aks update příkazu s příznakem nastaveným --nrg-restriction-level na Unrestricted. Tato konfigurace umožňuje zobrazit a upravit prostředky.
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted
Další kroky
Další informace o skupině prostředků uzlu v AKS najdete v tématu Skupina prostředků Node.
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
Zpětná vazba k produktu Azure Kubernetes Service
Azure Kubernetes Service je open source projekt. Vyberte odkaz pro poskytnutí zpětné vazby:
Azure Policy můžete použít k vynucení zásad a ochrany clusterů Kubernetes ve velkém měřítku. Azure Policy zajišťuje, aby byl váš cluster zabezpečený, vyhovující a konzistentní v celé organizaci.