Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In Azure Kubernetes Service (AKS) werden Knoten mit den gleichen Konfigurationen in Knotenpools gruppiert. Jeder Knotenpool enthält die virtuellen Computer (VMs), die Ihre Anwendungen ausführen. Im vorherigen Lernprogramm haben Sie ein Azure Linux mit OS Guard-Cluster mit einem einzelnen Knotenpool erstellt. Um die unterschiedlichen Compute-, Speicher- oder Sicherheitsanforderungen Ihrer Anwendungen zu erfüllen, können Sie Benutzerknotenpools hinzufügen.
In diesem Lernprogramm, Teil 2 von fünf, erfahren Sie, wie Sie:
- Fügen Sie einem vorhandenen Cluster einen Azure Linux mit OS Guard-Knotenpool hinzu.
- Überprüfen Sie den Status Ihrer Knotenpools.
In späteren Lernprogrammen erfahren Sie, wie Sie Knoten mit OS Guard zu Azure Linux migrieren und Telemetrie aktivieren, um Ihre Cluster zu überwachen.
Überlegungen und Einschränkungen
Bevor Sie beginnen, lesen Sie die folgenden Überlegungen und Einschränkungen für Azure Linux mit OS Guard (Vorschau):
- Kubernetes Version 1.32.0 oder höher ist für Azure Linux mit OS Guard erforderlich.
- Alle Azure Linux mit OS Guard-Images haben Federal Information Process Standard (FIPS) und Vertrauenswürdiger Start aktiviert.
- Azure CLI und ARM-Vorlagen sind die einzigen unterstützten Bereitstellungsmethoden für Azure Linux mit OS Guard auf AKS in Preview. PowerShell und Terraform werden nicht unterstützt.
- Arm64-Images werden mit Azure Linux mit OS Guard auf AKS in der Preview nicht unterstützt.
-
NodeImageundNonesind die einzigen unterstützten Betriebssystemupgradekanäle für Azure Linux mit OS Guard auf AKS.UnmanagedundSecurityPatchsind aufgrund des unveränderlichen /usr-Verzeichnisses nicht mit Azure Linux mit OS Guard kompatibel. - Artefaktstreaming wird nicht unterstützt.
- Pod Sandboxing wird nicht unterstützt.
- Vertrauliche virtuelle Computer (CVMs) werden nicht unterstützt.
- Virtuelle Computer der Generation 1 (VMs) werden nicht unterstützt.
Voraussetzungen
- Im vorherigen Lernprogramm haben Sie ein Azure Linux mit OS Guard-Cluster erstellt und bereitgestellt. Wenn Sie diese Schritte noch nicht abgeschlossen haben und dies ausführen möchten, lesen Sie Lernprogramm 1: Erstellen eines Clusters mit Azure Linux mit OS Guard für AKS.
- Sie benötigen die aktuellste Version der Azure-Befehlszeilenschnittstelle. Verwenden Sie den
az versionBefehl, um die Version zu finden. Verwenden Sie denaz upgradeBefehl, um auf die neueste Version zu aktualisieren.
Installieren der Azure CLI-Erweiterung „aks-preview“
Von Bedeutung
AKS-Vorschaufunktionen sind auf Selbstbedienungsbasis und freiwillig verfügbar. Vorschauversionen werden „im Istzustand“ und „wie verfügbar“ bereitgestellt und sind von den Service Level Agreements und der eingeschränkten Garantie ausgeschlossen. AKS-Vorschauversionen werden teilweise vom Kundensupport auf Grundlage der bestmöglichen Leistung abgedeckt. Daher sind diese Funktionen nicht für die Verwendung in der Produktion vorgesehen. Weitere Informationen finden Sie in den folgenden Supportartikeln:
Installieren Sie die „
aks-preview“-Erweiterung mithilfe des Befehls „az extension add“.az extension add --name aks-previewFühren Sie mit dem Befehl
az extension updateein Update auf die neueste Version der Erweiterung aus.az extension update --name aks-preview
Registrieren des Featurekennzeichens "Azure Linux OS Guard Preview"
Registrieren Sie das Featureflag
AzureLinuxOSGuardPreviewmithilfe des Befehlsaz feature register.az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Es dauert einige Minuten, bis der Status Registered (Registriert) angezeigt wird.
Überprüfen Sie den Registrierungsstatus mithilfe des Befehls
az feature show.az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Wenn der Status Registriert zeigt, aktualisieren Sie die Registrierung des
Microsoft.ContainerServiceResource Providers mithilfe des Befehlsaz provider register.az provider register --namespace "Microsoft.ContainerService"
Hinzufügen eines Azure Linux mit OS Guard-Knotenpool
Fügen Sie Ihrem vorhandenen Cluster einen Azure Linux mit OS Guard-Knoten-Pool hinzu, indem Sie den az aks nodepool add Befehl verwenden und --os-sku AzureLinuxOSGuard angeben. Das Aktivieren von FIPS, sicherer Start und vtpm ist auch erforderlich, um Azure Linux mit OS Guard zu verwenden. Im folgenden Beispiel wird ein Knotenpool namens osgNodepool erstellt, der drei Knoten im TestAzureLinuxOSGuardCluster-Cluster in der Ressourcengruppe testAzureLinuxOSGuardResourceGroup hinzufügt. Umgebungsvariablen werden deklariert, und ein zufälliges Suffix wird an die Ressourcengruppen- und Clusternamen angefügt, um die Eindeutigkeit sicherzustellen.
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export NODEPOOL_NAME="np$RANDOM_SUFFIX"
az aks nodepool add \
--resource-group $RESOURCE_GROUP \
--cluster-name $CLUSTER_NAME \
--name $NODEPOOL_NAME \
--node-count 3 \
--os-sku AzureLinuxOSGuard
--node-osdisk-type Managed
--enable-fips-image
--enable-secure-boot
--enable-vtpm
Beispielausgabe:
{
"agentPoolType": "VirtualMachineScaleSets",
"count": 3,
"name": "osgNodepool",
"osType": "Linux",
"provisioningState": "Succeeded",
"resourceGroup": "testAzureLinuxOSGuardResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools"
}
Hinweis
Der Name eines Knotenpools muss mit einem Kleinbuchstaben beginnen und darf nur alphanumerische Zeichen enthalten. Bei Linux-Knotenpools muss die Länge zwischen einem und 12 Zeichen bestehen.
Überprüfen des Knotenpoolstatus
Überprüfen Sie den Status Ihrer Knotenpools mit dem Befehl az aks nodepool list, und geben Sie Ihre Ressourcengruppe und den Clusternamen an.
az aks nodepool list --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME
Beispielausgabe:
[
{
"agentPoolType": "VirtualMachineScaleSets",
"availabilityZones": null,
"count": 3,
"enableAutoScaling": false,
"enableEncryptionAtHost": false,
"enableFips": false,
"enableNodePublicIp": false,
"id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
"maxPods": 110,
"mode": "User",
"name": "npxxxxxx",
"nodeImageVersion": "AzureLinuxContainerHost-2025.10.03",
"orchestratorVersion": "1.32.6",
"osDiskSizeGb": 128,
"osDiskType": "Managed",
"osSku": "AzureLinux",
"osType": "Linux",
"powerState": {
"code": "Running"
},
"provisioningState": "Succeeded",
"resourceGroup": "myAKSResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools",
"vmSize": "Standard_DS2_v2"
},
{
"agentPoolType": "VirtualMachineScaleSets",
"availabilityZones": null,
"count": 3,
"enableAutoScaling": false,
"enableEncryptionAtHost": false,
"enableFips": false,
"enableNodePublicIp": false,
"id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
"maxPods": 110,
"mode": "User",
"name": "npxxxxxx",
"nodeImageVersion": "AzureLinuxOSGuard-2025.10.03",
"orchestratorVersion": "1.32.6",
"osDiskSizeGb": 128,
"osDiskType": "Managed",
"osSku": "AzureLinuxOSGuard",
"osType": "Linux",
"powerState": {
"code": "Running"
},
"provisioningState": "Succeeded",
"resourceGroup": "myAKSResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools",
"vmSize": "Standard_DS2_v2"
}
]
Nächste Schritte
In diesem Lernprogramm haben Sie Ihrem vorhandenen Cluster einen Azure Linux mit OS Guard-Knotenpool hinzugefügt. Im nächsten Lernprogramm erfahren Sie, wie Sie vorhandene Knoten mit OS Guard zu Azure Linux migrieren.