Kurz: Migrace uzlů do Azure Linuxu pomocí OS Guard (Preview)

Nasazení a prozkoumání

V tomto kurzu, který je třetí částí pěti, migrujete stávající uzly do Azure Linuxu pomocí OS Guardu. Existující uzly můžete migrovat pomocí jedné z následujících metod:

• Odeberte existující fondy uzlů a přidejte nové fondy uzlů Azure Linux s funkci OS Guard.
• Místní migrace skladové položky operačního systému

Pokud nemáte žádné existující uzly k migraci, přejděte k dalšímu kurzu. V pozdějších kurzech se naučíte povolit telemetrii a monitorování v clusterech a upgradovat Azure Linux pomocí uzlů OS Guard.

Úvahy a omezení

Než začnete, projděte si následující aspekty a omezení pro Azure Linux s OS Guard (Preview):

• Pro Azure Linux s OS Guard se vyžaduje Kubernetes verze 1.32.0 nebo vyšší.
• Všechny image Azure Linuxu s OS Guard mají povolené Federal Information Process Standard (FIPS) a Trusted Launch.
• Azure CLI a šablony ARM jsou jedinými podporovanými metodami nasazení pro Azure Linux s OS Guard v AKS ve verzi Preview. PowerShell a Terraform se nepodporují.
• Obrazy Arm64 nejsou pro Azure Linux s OS Guard na AKS v režimu Preview podporovány.
• NodeImage a None jsou jedinými podporovanými kanály upgradu operačního systému pro Azure Linux s OS Guard v AKS. Unmanaged a SecurityPatch nejsou kompatibilní s Azure Linuxem s OS Guard z důvodu neměnného adresáře /usr.
• Streamování artefaktů se nepodporuje.
• Pod Sandboxing není podporován.
• Důvěrné virtuální počítače (CVM) se nepodporují.
• Virtuální počítače Gen1 se nepodporují.

Požadavky

• V předchozím kurzu jste vytvořili a nasadili Azure Linux s clusterem OS Guard. Pokud jste tyto kroky ještě nedokončili a chcete postupovat podle pokynů, přečtěte si kurz 1: Vytvoření clusteru s Azure Linuxem s OS Guard pro AKS.
• Potřebujete nejnovější verzi Azure CLI. az version K vyhledání verze použijte příkaz. Pokud chcete upgradovat na nejnovější verzi, použijte az upgrade příkaz.

Instalace rozšíření Azure CLI aks-Preview

Důležité

Funkce AKS ve verzi Preview jsou k dispozici na bázi samoobsluhy a dobrovolného přihlášení. Ukázky jsou poskytovány "jak jsou" a "podle aktuální dostupnosti" a jsou vyloučené ze smluv o úrovni služeb a omezené záruky. Předběžné verze AKS jsou částečně pokryty zákaznickou podporou podle možností. Proto tyto funkce nejsou určené pro produkční použití. Další informace najdete v následujících článcích podpory:

• Zásady podpory AKS
• Nejčastější dotazy ohledně podpory Azure

• aks-preview Nainstalujte rozšíření pomocí az extension add příkazu.

  az extension add --name aks-preview
  

• Pomocí příkazu aktualizujte na nejnovější verzi rozšíření az extension update .

  az extension update --name aks-preview
  

Zaregistrujte příznak Azure Linux OS Guard Preview

1. Příznak funkce AzureLinuxOSGuardPreview zaregistrujte pomocí příkazu az feature register.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

   Zobrazení stavu Zaregistrované trvá několik minut.

2. Pomocí příkazu ověřte stav az feature show registrace.

   az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

3. Jakmile se stav zobrazí jako zaregistrovaný, aktualizujte registraci Microsoft.ContainerService poskytovatele prostředků pomocí az provider register příkazu.

   az provider register --namespace "Microsoft.ContainerService"
   

Přidání Azure Linuxu s fondy uzlů OS Guard a odebrání existujících fondů uzlů

1. Přidejte nový fond uzlů Azure Linux s OS Guard pomocí az aks nodepool add příkazu. Tento příkaz přidá do clusteru nový fond uzlů s příznakem --mode System , což z něj dělá fond systémových uzlů. Fondy systémových uzlů se vyžadují pro Azure Linux s clustery OS Guard.

   # Declare environment variables with a random suffix for uniqueness
   export RANDOM_SUFFIX=$(openssl rand -hex 3)
   export NODE_POOL_NAME="np$RANDOM_SUFFIX"
   az aks nodepool add --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME --name $NODE_POOL_NAME --mode System --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm
   

   Příklad výstupu:

   {
     "id": "/subscriptions/xxxxx/resourceGroups/myResourceGroupxxx/providers/Microsoft.ContainerService/managedClusters/myAKSCluster/nodePools/systempool",
     "name": "systempool",
     "provisioningState": "Succeeded"
   }
   

2. Pomocí příkazu odeberte existující uzly az aks nodepool delete .

   az aks nodepool delete --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME --name $NODE_POOL_NAME 
   

Omezení pro migraci edice operačního systému na místě

Existuje několik nastavení, která můžou zablokovat žádost o migraci skladové položky operačního systému. Pokud chcete zajistit úspěšnou migraci, projděte si následující pokyny a omezení:

• Funkce migrace skladové položky operačního systému není dostupná prostřednictvím PowerShellu ani webu Azure Portal. Při použití funkce migrace verze operačního systému s Azure Linuxem s OS Guard (Preview) není tato funkce dostupná prostřednictvím Terraformu, PowerShellu ani portálu Azure.
• Funkce migrace SKU operačního systému nepodporuje přejmenování stávajících poolů uzlů.
• Jedinými podporovanými cíli migrace skladové položky operačního systému Linux jsou Ubuntu, Azure Linux a Azure Linux s OS Guard.
• Důvěryhodné spuštění se ve výchozím nastavení vyžaduje pro Azure Linux s OS Guard. Abyste mohli migrovat do Azure Linuxu pomocí OS Guard, musíte mít povolené důvěryhodné spuštění. To může vyžadovat vytvoření nových poolů uzlů.
• FiPS se vyžaduje při povolování Azure Linuxu pomocí OS Guard. Pokud aktuálně nepoužíváte obraz FIPS, můžete jej zahrnout do příkazu pro aktualizaci fondu uzlů --enable-fips.
• Virtuální počítače Gen1 se nepodporují.
• Skladová položka s operačním systémem Ubuntu s povoleným prvkem UseGPUDedicatedVHD nemůže provést migraci SKU operačního systému.
• Důvěrné virtuální počítače (CVM) se nepodporují.
• Pod Sandboxing není podporován.
• Migrace skladové položky operačního systému Windows se nepodporuje.
• Migrace skladové položky operačního systému z Marineru do Azure Linuxu se podporuje, ale vrácení zpět do Marineru se nepodporuje.

Požadavky pro přechod na jinou edici operačního systému

• Existující cluster AKS s alespoň jedním pool uzlů Azure Linux.
• Než se pokusíte použít funkci migrace SKU operačního systému, doporučujeme zajistit, aby vaše úlohy byly úspěšně nakonfigurovány a spouštěny na hostiteli kontejneru Azure Linux s OS Guard. Tím, že nasadíte cluster Azure Linux s OS Guard v prostředí dev/prod a ověříte, že vaše služba nadále dobře funguje, můžete prověřit připravenost na migraci.
• Před použitím procesu v produkčním clusteru se ujistěte, že funkce migrace pracuje pro vás v testovacím/vývojovém prostředí.
• Ujistěte se, že vaše pody mají dostatečný Pod Disruption Budget, aby AKS mohlo přesouvat pody mezi virtuálními počítači během upgradu.
• Potřebujete Azure CLI verze 2.61.0 nebo vyšší. az version K vyhledání verze použijte příkaz. Pokud chcete upgradovat na nejnovější verzi, použijte az upgrade příkaz.

Provedení místní migrace skladové položky operačního systému

Stávající fondy uzlů Ubuntu nebo Azure Linux můžete migrovat do Azure Linux pomocí OS Guard změnou OS SKU fondu uzlů, což provede cluster procesem upgradu standardního image uzlu. Tato nová funkce nevyžaduje vytvoření nových fondů uzlů; místo toho se stávající fondy uzlů automaticky znovu vytvoří.

Azure CLI

Migrujte SKU operačního systému v sadě uzlů hostitele kontejneru Azure Linux na Azure Linux pomocí OS Guard.

• Migrujte OS SKU vašeho fondu uzlů do Azure Linux pomocí OS Guardu pomocí příkazu az aks nodepool update. Tento příkaz aktivuje opětovné vytvoření image fondu uzlů a aktualizuje skladovou položku operačního systému vašeho fondu uzlů z Azure Linuxu na Azure Linux pomocí OS Guard. Změna skladové položky operačního systému aktivuje okamžitou operaci upgradu, která trvá několik minut.

  az aks nodepool update --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME --name $NODE_POOL_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm
  

  Příklad výstupu:

  {
    "id": "/subscriptions/xxxxx/resourceGroups/myResourceGroupxxx/providers/Microsoft.ContainerService/managedClusters/myAKSCluster/nodePools/nodepool1",
    "name": "nodepool1",
    "osSku": "AzureLinuxOSGuard",
    "provisioningState": "Succeeded"
  }
  

Poznámka:

Pokud během migrace edice operačního systému dojde k problémům, můžete se vrátit k předchozí verzi OS.

Šablona ARM

Ukázkové šablony ARM

0base.json

 {
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-07-01",
      "name": "akstestcluster",
      "location": "[resourceGroup().location]",
      "tags": {
        "displayname": "Demo of AKS Nodepool Migration"
      },
      "identity": {
        "type": "SystemAssigned"
      },
      "properties": {
        "enableRBAC": true,
        "dnsPrefix": "testcluster",
        "agentPoolProfiles": [
          {
            "name": "testnp",
            "count": 3,
            "vmSize": "Standard_D4a_v4",
            "osType": "Linux",
            "osSku": "AzureLinux",
            "mode": "System"
          }
        ]
      }
    }
  ]
}

1mcupdate.json

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-07-01",
      "name": "akstestcluster",
      "location": "[resourceGroup().location]",
      "tags": {
        "displayname": "Demo of AKS Nodepool Migration"
      },
      "identity": {
        "type": "SystemAssigned"
      },
      "properties": {
        "enableRBAC": true,
        "dnsPrefix": "testcluster",
        "agentPoolProfiles": [
          {
            "name": "testnp",
            "osType": "Linux",
            "osSku": "AzureLinuxOSGuard",
            "mode": "System"
          }
        ]
      }
    }
  ]
} 

2apupdate.json

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "apiVersion": "2023-07-01",
      "type": "Microsoft.ContainerService/managedClusters/agentPools",
      "name": "akstestcluster/testnp",
      "location": "[resourceGroup().location]",
      "properties": {
        "osType": "Linux",
        "osSku": "AzureLinux",
        "mode": "System"
      }
    }
  ]
}

Nasazení testovacího clusteru

1. Vytvořte skupinu prostředků pro testovací cluster pomocí příkazu az group create.

   az group create --name testRG --location eastus
   

2. Nasaďte základní cluster SKU operačního systému Linux Azure se třemi uzly pomocí az deployment group create příkazu a 0base.json jako ukázkovou šablonu ARM.

   az deployment group create --resource-group testRG --template-file 0base.json
   

3. Migrujte SKU operačního systému vašeho fondu systémových uzlů na Azure Linux pomocí funkce OS Guard pomocí příkazu az deployment group create.

   az deployment group create --resource-group testRG --template-file 1mcupdate.json
   

4. Pomocí příkazu az deployment group create migrujte SKU operačního systému vašeho systémového fondu uzlů zpět do Azure Linux.

   az deployment group create --resource-group testRG --template-file 2apupdate.json
   

Ověření migrace skladové položky operačního systému

Po dokončení migrace na testovacích clusterech byste měli ověřit následující kroky, abyste zajistili úspěšnou migraci:

• Pokud vaším cílem migrace je Azure Linux s OS Guardem, spusťte kubectl get nodes -o wide příkaz. Výstup by měl ukazovat Microsoft Azure Linux 3.0 jako image operačního systému a .azl3 na konci vaší verze jádra.
• Ověřte spuštěním příkazu kubectl get pods -o wide -A, že všechny pody a daemonsety běží na novém fondu uzlů.
• Spuštěním příkazu kubectl get nodes --show-labels ověřte, že všechny štítky uzlů ve vašem upgradovaném fondu uzlů odpovídají vašim očekáváním.

Návod

Před migrací produkčních clusterů doporučujeme monitorovat stav služby několik týdnů.

Přejít zpět na předchozí verzi operačního systému

Pokud během migrace verze operačního systému dochází k problémům, můžete se vrátit k předchozí verzi operačního systému. K tomu je potřeba změnit pole skladové položky operačního systému v šabloně a znovu odeslat nasazení, které aktivuje další operaci upgradu a znovu sestaví fond uzlů na předchozí skladovou položku operačního systému.

Poznámka:

Migrace SKU operačního systému nepodporuje vrátit se k SKU operačního systému Mariner.

• Vraťte se zpět na předchozí skladovou položku operačního az aks nodepool update systému pomocí příkazu. Tento příkaz aktualizuje SKU operačního systému pro fond uzlů z Azure Linuxu s OS Guard zpět na Azure Linux.

Další kroky

V tomto kurzu jste migrovali existující uzly do Azure Linuxu pomocí OS Guard. V dalším kurzu se dozvíte, jak povolit telemetrii pro monitorování clusterů.

Povolení telemetrie a monitorování