Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Lernprogramm, Teil 1 von fünf, lernen Sie Folgendes:
- Installieren der Kubernetes-Befehlszeilenschnittstelle
kubectl. - Installieren Sie die
aks-previewAzure CLI-Erweiterung. - Registrieren Sie das
AzureLinuxOSGuardPreviewFeature-Flag. - Erstellen einer Azure-Ressourcengruppe.
- Erstellen und Bereitstellen eines Azure Linux mit OS Guard-Cluster.
- Konfigurieren Sie
kubectl, um eine Verbindung mit Ihrem Azure Linux Cluster mit OS Guard herzustellen.
In späteren Lernprogrammen erfahren Sie, wie Sie einem vorhandenen Cluster einen Azure Linux mit OS Guard-Knotenpool hinzufügen und vorhandene Knoten mit OS Guard zu Azure Linux migrieren.
Überlegungen und Einschränkungen
Bevor Sie beginnen, lesen Sie die folgenden Überlegungen und Einschränkungen für Azure Linux mit OS Guard (Vorschau):
- Kubernetes Version 1.32.0 oder höher ist für Azure Linux mit OS Guard erforderlich.
- Alle Azure Linux mit OS Guard-Images verfügen über Federal Information Process Standard (FIPS) und Vertrauenswürdige Einführung aktiviert.
- Azure CLI und ARM-Vorlagen sind die einzigen unterstützten Bereitstellungsmethoden für Azure Linux mit OS Guard auf AKS in der Vorschauversion. PowerShell und Terraform werden nicht unterstützt.
- In der Vorschau werden Arm64 -Images mit Azure Linux mit Betriebssystemschutz auf AKS nicht unterstützt.
-
NodeImageundNonesind die einzigen unterstützten Betriebssystemupgradekanäle für Azure Linux mit OS Guard auf AKS.UnmanagedundSecurityPatchsind aufgrund des unveränderlichen /usr-Verzeichnisses nicht mit Azure Linux mit OS Guard kompatibel. - Artefaktstreaming wird nicht unterstützt.
- Pod Sandboxing wird nicht unterstützt.
- Vertrauliche virtuelle Computer (CVMs) werden nicht unterstützt.
- Virtuelle Computer der Generation 1 (VMs) werden nicht unterstützt.
Voraussetzungen
- Sie benötigen die aktuellste Version der Azure-Befehlszeilenschnittstelle. Verwenden Sie den
az versionBefehl, um die Version zu finden. Verwenden Sie denaz upgradeBefehl, um auf die neueste Version zu aktualisieren. -
Installieren sie die
aks-previewAzure CLI-Erweiterung. -
Registrieren Sie das
AzureLinuxOSGuardPreviewFeature-Flag.
Installieren der Azure CLI-Erweiterung „aks-preview“
Von Bedeutung
AKS-Vorschaufunktionen sind auf Selbstbedienungsbasis und freiwillig verfügbar. Vorschauversionen werden „im Istzustand“ und „wie verfügbar“ bereitgestellt und sind von den Service Level Agreements und der eingeschränkten Garantie ausgeschlossen. AKS-Vorschauversionen werden teilweise vom Kundensupport auf Grundlage der bestmöglichen Leistung abgedeckt. Daher sind diese Funktionen nicht für die Verwendung in der Produktion vorgesehen. Weitere Informationen finden Sie in den folgenden Supportartikeln:
Installieren Sie die „
aks-preview“-Erweiterung mithilfe des Befehls „az extension add“.az extension add --name aks-previewFühren Sie mit dem Befehl
az extension updateein Update auf die neueste Version der Erweiterung aus.az extension update --name aks-preview
Registrieren des Featurekennzeichens "Azure Linux OS Guard Preview"
Registrieren Sie das Featureflag
AzureLinuxOSGuardPreviewmithilfe des Befehlsaz feature register.az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Es dauert einige Minuten, bis der Status Registered (Registriert) angezeigt wird.
Überprüfen Sie den Registrierungsstatus mithilfe des Befehls
az feature show.az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Wenn der Status "Registriert" anzeigt, aktualisieren Sie die Registrierung des Ressourcenanbieters mithilfe des Befehls
Microsoft.ContainerServiceaz provider register.az provider register --namespace "Microsoft.ContainerService"
Erstellen einer Ressourcengruppe
Eine Azure-Ressourcengruppe ist eine logische Gruppe, in der Azure-Ressourcen bereitgestellt und verwaltet werden. Beim Erstellen einer Ressourcengruppe muss ein Speicherort angegeben werden. Dieser Standort ist:
- Der Speicherort Ihrer Metadaten der Ressourcengruppe.
- Wo Ihre Ressourcen in Azure ausgeführt werden, wenn Sie beim Erstellen einer Ressource keine andere Region angeben.
Erstellen Sie eine Ressourcengruppe mit dem Befehl az group create. Vor dem Ausführen des Befehls werden Umgebungsvariablen deklariert, um eindeutige Ressourcennamen für jede Bereitstellung sicherzustellen.
export REGION="EastUS2"
az group create --name $RESOURCE_GROUP_NAME --location $REGION
Beispielausgabe:
{
"id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx",
"location": "EastUS2",
"managedBy": null,
"name": "testAzureLinuxOSGuardResourceGroupxxxxx",
"properties": {
"provisioningState": "Succeeded"
},
"tags": null,
"type": "Microsoft.Resources/resourceGroups"
}
Erstellen eines Azure Linux-Clusters mit OS Guard (Vorschau)
Erstellen Sie einen AKS-Cluster, indem Sie den Befehl az aks create mit dem Parameter --os-sku AzureLinuxOSGuard verwenden, um ein Azure Linux-Cluster mit OS Guard bereitzustellen. Das Aktivieren von FIPS, sicherer Start und vtpm ist erforderlich, um Azure Linux mit OS Guard zu verwenden. Im folgenden Beispiel wird ein Azure Linux mit OS Guard-Cluster erstellt:
az aks create --name $MY_AZ_CLUSTER_NAME --resource-group $MY_RESOURCE_GROUP_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm
Beispielausgabe:
{
"id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/testAzureLinuxOSGuardClusterxxxxx",
"location": "WestUS2",
"name": "testAzureLinuxOSGuardClusterxxxxx",
"properties": {
"provisioningState": "Succeeded"
},
"type": "Microsoft.ContainerService/managedClusters"
}
Nach wenigen Minuten ist die Ausführung des Befehls abgeschlossen, und es werden Informationen zum Cluster im JSON-Format zurückgegeben.
Herstellen einer Verbindung mit dem Cluster mithilfe von Kubectl
Mit dem Befehl kubectl können Sie az aks get-credentials für die Verbindungsherstellung mit Ihrem Kubernetes-Cluster konfigurieren. Im folgenden Beispiel werden Anmeldeinformationen für den Azure Linux-Container-Hostcluster mithilfe der zuvor erstellten Ressourcengruppe und des Clusternamens angezeigt:
az aks get-credentials --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME
Überprüfen Sie die Verbindung mit Ihrem Cluster mithilfe des kubectl get nodes Befehls, um eine Liste der Clusterknoten zurückzugeben.
kubectl get nodes
Beispielausgabe:
NAME STATUS ROLES AGE VERSION
aks-nodepool1-00000000-0 Ready agent 10m v1.20.7
aks-nodepool1-00000000-1 Ready agent 10m v1.20.7
Nächste Schritte
In diesem Lernprogramm haben Sie ein Azure Linux mit OS Guard-Cluster erstellt und bereitgestellt. Im nächsten Lernprogramm erfahren Sie, wie Sie einem vorhandenen Cluster einen Azure Linux mit OS Guard-Knotenpool hinzufügen.