Bereitstellen einer vollständig verwalteten Ressourcengruppe mithilfe der Sperrung von Knotenressourcengruppen (Vorschau) in Azure Kubernetes Service (AKS)

AKS stellt die Infrastruktur in Ihrem Abonnement bereit, um eine Verbindung mit Ihren Anwendungen herzustellen und diese auszuführen. Änderungen, die direkt an Ressourcen in der Knotenressourcengruppe vorgenommen werden, können sich auf Clustervorgänge auswirken oder zukünftig Probleme verursachen. Beispielsweise sollten die Skalierung, die Speicherung und Netzwerkkonfigurationen über die Kubernetes-API erfolgen und nicht direkt für diese Ressourcen.

Um zu verhindern, dass Änderungen an der Knotenressourcengruppe vorgenommen werden, können Sie eine Ablehnungszuweisung anwenden und Benutzer daran hindern, Ressourcen zu ändern, die im Rahmen des AKS-Clusters erstellt wurden.

Wichtig

AKS-Previewfunktionen stehen gemäß dem Self-Service- und Aktivierungsprinzip zur Verfügung. Vorschauversionen werden „wie besehen“ und „wie verfügbar“ bereitgestellt und sind von Service Level Agreements und der Herstellergarantie ausgeschlossen. AKS-Vorschauversionen werden teilweise vom Kundensupport auf Grundlage der bestmöglichen Leistung abgedeckt. Daher sind diese Funktionen nicht für die Verwendung in der Produktion vorgesehen. Weitere Informationen finden Sie in den folgenden Supportartikeln:

• Unterstützungsrichtlinien für Azure Kubernetes Service
• Häufig gestellte Fragen zum Azure-Support

Voraussetzungen

Bevor Sie beginnen, müssen die folgenden Ressourcen installiert und konfiguriert werden:

• Azure CLI-Version 2.44.0 oder höher. Führen Sie az --version aus, um die aktuelle Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.
• Die Erweiterung aks-preview, Version 0.5.126 oder höher
• Registriertes Featureflag NRGLockdownPreview für Ihr Abonnement

Installieren Sie die aks-preview-Erweiterung für die Befehlszeilenschnittstelle

Installieren oder aktualisieren Sie die aks-preview-Erweiterung mithilfe des Befehls az extension add oder az extension update.

# Install the aks-preview extension
az extension add --name aks-preview

# Update to the latest version of the aks-preview extension
az extension update --name aks-preview

Registrieren des NRGLockdownPreview-Featureflags

1. Registrieren Sie das Featureflag NRGLockdownPreview mithilfe des Befehls az feature register.

   az feature register --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"
   

   Es dauert einige Minuten, bis der Status Registered (Registriert) angezeigt wird.

2. Überprüfen Sie den Registrierungsstatus mithilfe des Befehls az feature show.

   az feature show --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"
   

3. Wenn der Zustand Registered (Registriert) lautet, aktualisieren Sie die Registrierung des Ressourcenanbieters Microsoft.ContainerService mithilfe des Befehls az provider register.

   az provider register --namespace Microsoft.ContainerService
   

Erstellen eines AKS-Clusters mit Sperrung von Knotenressourcengruppen

Erstellen Sie einen Cluster mit Sperrung von Knotenressourcengruppen mithilfe des Befehls az aks create und mit dem auf ReadOnly festgelegten Flag --nrg-lockdown-restriction-level. Mit dieser Konfiguration können Sie die Ressourcen anzeigen, aber nicht ändern.

az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP_NAME \
    --nrg-lockdown-restriction-level ReadOnly \
    --generate-ssh-keys

Aktualisieren eines AKS-Clusters mit Sperrung von Knotenressourcengruppen

Aktualisieren Sie einen vorhandenen Cluster mit Sperrung von Knotenressourcengruppen mithilfe des Befehls az aks update und mit dem auf ReadOnly festgelegten Flag --nrg-lockdown-restriction-level. Mit dieser Konfiguration können Sie die Ressourcen anzeigen, aber nicht ändern.

az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly

Entfernen der Sperrung von Knotenressourcengruppen aus einem Cluster

Entfernen Sie die Sperrung von Knotenressourcengruppen für einen vorhandenen Cluster mithilfe des Befehls az aks update und mit dem auf Unrestricted festgelegten Flag --nrg-restriction-level. Mit dieser Konfiguration können Sie die Ressourcen anzeigen und ändern.

az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted

Nächste Schritte

Weitere Informationen zur Knotenressourcengruppe in AKS finden Sie unter Knotenressourcengruppe.