Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V tomto kurzu, který je jednou z pěti částí, se naučíte:
- Nainstalujte rozhraní příkazového řádku Kubernetes
kubectl. -
aks-previewNainstalujte rozšíření Azure CLI. - Zaregistrujte příznak funkce
AzureLinuxOSGuardPreview. - Vytvořte skupinu prostředků Azure.
- Vytvoření a nasazení Azure Linuxu pomocí clusteru OS Guard
- Nakonfigurujte
kubectlpřipojení k Azure Linuxu pomocí clusteru OS Guard.
V pozdějších kurzech se dozvíte, jak přidat fond uzlů OS Guard s Azure Linuxem do existujícího clusteru a migrovat existující uzly do Azure Linuxu pomocí OS Guard.
Úvahy a omezení
Než začnete, projděte si následující aspekty a omezení pro Azure Linux s OS Guard (Preview):
- Pro Azure Linux s OS Guard se vyžaduje Kubernetes verze 1.32.0 nebo vyšší.
- Všechny image Azure Linuxu s OS Guard mají povolené Federal Information Process Standard (FIPS) a Trusted Launch.
- Azure CLI a šablony ARM jsou jedinými podporovanými metodami nasazení pro Azure Linux s OS Guard v AKS ve verzi Preview. PowerShell a Terraform se nepodporují.
- Obrazy Arm64 nejsou pro Azure Linux s OS Guard na AKS v režimu Preview podporovány.
-
NodeImageaNonejsou jedinými podporovanými kanály upgradu operačního systému pro Azure Linux s OS Guard v AKS.UnmanagedaSecurityPatchnejsou kompatibilní s Azure Linuxem s OS Guard z důvodu neměnného adresáře /usr. - Streamování artefaktů se nepodporuje.
- Pod Sandboxing není podporován.
- Důvěrné virtuální počítače (CVM) se nepodporují.
- Virtuální počítače Gen1 se nepodporují.
Požadavky
- Potřebujete nejnovější verzi Azure CLI.
az versionK vyhledání verze použijte příkaz. Pokud chcete upgradovat na nejnovější verzi, použijteaz upgradepříkaz. -
Nainstalujte rozšíření
aks-previewAzure CLI -
AzureLinuxOSGuardPreviewZaregistrujte příznak funkce.
Instalace rozšíření Azure CLI aks-Preview
Důležité
Funkce AKS ve verzi Preview jsou k dispozici na bázi samoobsluhy a dobrovolného přihlášení. Ukázky jsou poskytovány "jak jsou" a "podle aktuální dostupnosti" a jsou vyloučené ze smluv o úrovni služeb a omezené záruky. Předběžné verze AKS jsou částečně pokryty zákaznickou podporou podle možností. Proto tyto funkce nejsou určené pro produkční použití. Další informace najdete v následujících článcích podpory:
aks-previewNainstalujte rozšíření pomocíaz extension addpříkazu.az extension add --name aks-previewPomocí příkazu aktualizujte na nejnovější verzi rozšíření
az extension update.az extension update --name aks-preview
Zaregistrujte příznak Azure Linux OS Guard Preview
Příznak funkce
AzureLinuxOSGuardPreviewzaregistrujte pomocí příkazuaz feature register.az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Zobrazení stavu Zaregistrované trvá několik minut.
Pomocí příkazu ověřte stav
az feature showregistrace.az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Jakmile se stav zobrazí jako zaregistrovaný, aktualizujte registraci
Microsoft.ContainerServiceposkytovatele prostředků pomocíaz provider registerpříkazu.az provider register --namespace "Microsoft.ContainerService"
Vytvoření skupiny zdrojů
Skupina prostředků Azure je logická skupina, ve které se nasazují a spravují prostředky Azure. Při vytváření skupiny prostředků je nutné zadat umístění. Toto umístění je:
- Úložiště metadat pro skupinu prostředků.
- Pokud při vytváření prostředku nezadáte jinou oblast, vaše prostředky běží v Azure.
Vytvořte skupinu prostředků pomocí příkazu az group create. Před spuštěním příkazu se proměnné prostředí deklarují, aby se zajistily jedinečné názvy prostředků pro každé nasazení.
export REGION="EastUS2"
az group create --name $RESOURCE_GROUP_NAME --location $REGION
Příklad výstupu:
{
"id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx",
"location": "EastUS2",
"managedBy": null,
"name": "testAzureLinuxOSGuardResourceGroupxxxxx",
"properties": {
"provisioningState": "Succeeded"
},
"tags": null,
"type": "Microsoft.Resources/resourceGroups"
}
Vytvoření clusteru Azure Linux s OS Guardem (Preview)
Vytvořte cluster AKS pomocí az aks create příkazu s --os-sku AzureLinuxOSGuard parametrem pro zřízení Azure Linuxu s clusterem OS Guard. K použití Azure Linuxu s OS Guard se vyžaduje povolení FIPS, zabezpečeného spouštění a vtpm . Následující příklad vytvoří Azure Linux s clusterem OS Guard:
az aks create --name $MY_AZ_CLUSTER_NAME --resource-group $MY_RESOURCE_GROUP_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm
Příklad výstupu:
{
"id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/testAzureLinuxOSGuardClusterxxxxx",
"location": "WestUS2",
"name": "testAzureLinuxOSGuardClusterxxxxx",
"properties": {
"provisioningState": "Succeeded"
},
"type": "Microsoft.ContainerService/managedClusters"
}
Po několika minutách se příkaz dokončí a vrátí informace o clusteru ve formátu JSON.
Připojení ke clusteru pomocí kubectl
Nakonfigurujte kubectl pro připojení ke svému Kubernetes clusteru pomocí příkazu az aks get-credentials. Následující příklad získá přihlašovací údaje pro cluster hostitelů kontejnerů Azure s Linuxem pomocí skupiny prostředků a názvu clusteru vytvořeného dříve:
az aks get-credentials --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME
Pomocí příkazu ověřte připojení ke clusteru kubectl get nodes a vraťte seznam uzlů clusteru.
kubectl get nodes
Příklad výstupu:
NAME STATUS ROLES AGE VERSION
aks-nodepool1-00000000-0 Ready agent 10m v1.20.7
aks-nodepool1-00000000-1 Ready agent 10m v1.20.7
Další kroky
V tomto kurzu jste vytvořili a nasadili Azure Linux s clusterem OS Guard. V dalším kurzu se dozvíte, jak přidat azure Linux s fondem uzlů OS Guard do existujícího clusteru.