Návod: Přidání fondu uzlů s Azure Linuxem a funkcí OS Guard (preview) do existujícího clusteru Azure Kubernetes Service (AKS)

Nasazení a prozkoumání

Ve službě Azure Kubernetes Service (AKS) se uzly se stejnými konfiguracemi seskupují do fondů uzlů. Každý fond uzlů obsahuje virtuální počítače, na kterých běží vaše aplikace. V předchozím kurzu jste vytvořili cluster Azure Linux s OS Guard s jediným poolem uzlů. Abyste splnili různé požadavky na výpočetní prostředky, úložiště nebo zabezpečení aplikací, můžete přidat fondy uzlů uživatelů.

V tomto kurzu, který je druhou částí pěti, se naučíte:

• Přidejte do existujícího clusteru Azure Linux s fondem uzlů s funkcí OS Guard.
• Zkontrolujte stav poolů uzlů.

V pozdějších kurzech se naučíte migrovat uzly do Azure Linuxu pomocí OS Guard a povolit telemetrii pro monitorování clusterů.

Úvahy a omezení

Než začnete, projděte si následující aspekty a omezení pro Azure Linux s OS Guard (Preview):

• Pro Azure Linux s OS Guard se vyžaduje Kubernetes verze 1.32.0 nebo vyšší.
• Všechny image Azure Linuxu s OS Guard mají povolené Federal Information Process Standard (FIPS) a Trusted Launch.
• Azure CLI a šablony ARM jsou jedinými podporovanými metodami nasazení pro Azure Linux s OS Guard v AKS ve verzi Preview. PowerShell a Terraform se nepodporují.
• Obrazy Arm64 nejsou pro Azure Linux s OS Guard na AKS v režimu Preview podporovány.
• NodeImage a None jsou jedinými podporovanými kanály upgradu operačního systému pro Azure Linux s OS Guard v AKS. Unmanaged a SecurityPatch nejsou kompatibilní s Azure Linuxem s OS Guard z důvodu neměnného adresáře /usr.
• Streamování artefaktů se nepodporuje.
• Pod Sandboxing není podporován.
• Důvěrné virtuální počítače (CVM) se nepodporují.
• Virtuální počítače Gen1 se nepodporují.

Požadavky

• V předchozím kurzu jste vytvořili a nasadili Azure Linux s clusterem OS Guard. Pokud jste tyto kroky ještě nedokončili a chcete postupovat podle pokynů, přečtěte si kurz 1: Vytvoření clusteru s Azure Linuxem s OS Guard pro AKS.
• Potřebujete nejnovější verzi Azure CLI. az version K vyhledání verze použijte příkaz. Pokud chcete upgradovat na nejnovější verzi, použijte az upgrade příkaz.

Instalace rozšíření Azure CLI aks-Preview

Důležité

Funkce AKS ve verzi Preview jsou k dispozici na bázi samoobsluhy a dobrovolného přihlášení. Ukázky jsou poskytovány "jak jsou" a "podle aktuální dostupnosti" a jsou vyloučené ze smluv o úrovni služeb a omezené záruky. Předběžné verze AKS jsou částečně pokryty zákaznickou podporou podle možností. Proto tyto funkce nejsou určené pro produkční použití. Další informace najdete v následujících článcích podpory:

• Zásady podpory AKS
• Nejčastější dotazy ohledně podpory Azure

• aks-preview Nainstalujte rozšíření pomocí az extension add příkazu.

  az extension add --name aks-preview
  

• Pomocí příkazu aktualizujte na nejnovější verzi rozšíření az extension update .

  az extension update --name aks-preview
  

Zaregistrujte příznak Azure Linux OS Guard Preview

1. Příznak funkce AzureLinuxOSGuardPreview zaregistrujte pomocí příkazu az feature register.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

   Zobrazení stavu Zaregistrované trvá několik minut.

2. Pomocí příkazu ověřte stav az feature show registrace.

   az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

3. Jakmile se stav zobrazí jako zaregistrovaný, aktualizujte registraci Microsoft.ContainerService poskytovatele prostředků pomocí az provider register příkazu.

   az provider register --namespace "Microsoft.ContainerService"
   

Přidejte uzlový pool Azure Linux s OS Guard

Přidejte fond uzlů OS Guard s Azure Linuxem do vašeho existujícího clusteru pomocí příkazu az aks nodepool add a zadejte --os-sku AzureLinuxOSGuard. K použití Azure Linuxu s OS Guard se vyžaduje také povolení FIPS, zabezpečeného spouštění a vtpm . Následující příklad vytvoří fond uzlů s názvem osgNodepool , který přidá tři uzly v clusteru testAzureLinuxOSGuardCluster ve skupině prostředků testAzureLinuxOSGuardResourceGroup . Proměnné prostředí se deklarují a k skupině prostředků a názvům clusterů se připojí náhodná přípona, aby byla zajištěna jedinečnost.

export RANDOM_SUFFIX=$(openssl rand -hex 3)
export NODEPOOL_NAME="np$RANDOM_SUFFIX"

az aks nodepool add \
    --resource-group $RESOURCE_GROUP \
    --cluster-name $CLUSTER_NAME \
    --name $NODEPOOL_NAME \
    --node-count 3 \
    --os-sku AzureLinuxOSGuard
    --node-osdisk-type Managed 
    --enable-fips-image 
    --enable-secure-boot 
    --enable-vtpm

Příklad výstupu:

{
  "agentPoolType": "VirtualMachineScaleSets",
  "count": 3,
  "name": "osgNodepool",
  "osType": "Linux",
  "provisioningState": "Succeeded",
  "resourceGroup": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "type": "Microsoft.ContainerService/managedClusters/agentPools"
}

Poznámka:

Název fondu uzlů musí začínat malým písmenem a může obsahovat pouze alfanumerické znaky. U uzlových skupin Linuxu musí být délka mezi jedním a 12 znaky.

Kontrola stavu fondu uzlů

Zkontrolujte stav fondů uzlů pomocí příkazu az aks nodepool list a zadejte název skupiny prostředků a clusteru.

az aks nodepool list --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME

Příklad výstupu:

[
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxContainerHost-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinux",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  },
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxOSGuard-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinuxOSGuard",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  }
]

Další kroky

V tomto kurzu jste do existujícího clusteru přidali fond uzlů OS Guard s Azure Linuxem. V dalším kurzu se dozvíte, jak migrovat existující uzly do Azure Linuxu pomocí OS Guard.

Migrace do Azure Linuxu pomocí OS Guard