Implementar un grupo de recursos totalmente administrado mediante el bloqueo del grupo de recursos del nodo (versión preliminar) en Azure Kubernetes Service (AKS)

AKS implementa la infraestructura en su suscripción para conectarse a las aplicaciones y ejecutarlas. Los cambios realizados directamente en los recursos del grupo de recursos del nodo pueden afectar a las operaciones del clúster o causar problemas en el futuro. Por ejemplo, el escalado, el almacenamiento o las configuraciones de la red deben realizarse a través de la API de Kubernetes, y no directamente sobre estos recursos.

Para evitar que se realicen cambios en el grupo de recursos del nodo, puede aplicar una asignación de denegación y impedir que los usuarios modifiquen los recursos creados como parte del clúster de AKS.

Importante

Las características en versión preliminar de AKS están disponibles como opción de participación y autoservicio. Las versiones preliminares se proporcionan "tal cual" y "como están disponibles", y están excluidas de los Acuerdos de nivel de servicio y garantía limitada. Las versiones preliminares de AKS reciben cobertura parcial del soporte al cliente en la medida de lo posible. Por lo tanto, estas características no están diseñadas para su uso en producción. Para más información, consulte los siguientes artículos de soporte:

• Directivas de soporte técnico para AKS
• Preguntas más frecuentes de Soporte técnico de Azure

Antes de empezar

Antes de comenzar, necesita los siguientes recursos instalados y configurados:

• La versión 2.44.0 de la CLI de Azure, o cualquier versión posterior. Ejecute az --version para buscar la versión actual. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.
• La versión 0.5.126 o posterior de la extensión aks-preview.
• La marca de característica NRGLockdownPreview registrada en la suscripción.

Instalación de la extensión aks-preview de la CLI

Instale o actualice la extensión aks-preview mediante el comando az extension add o az extension update.

# Install the aks-preview extension
az extension add --name aks-preview

# Update to the latest version of the aks-preview extension
az extension update --name aks-preview

Registro de la marca de característica NRGLockdownPreview

1. Registre la marca de características de NRGLockdownPreview mediante el comando az feature register.

   az feature register --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"
   

   Tarda unos minutos en que el estado muestre Registrado.

2. Comprobar el estado del registro mediante el comando az feature show.

   az feature show --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"
   

3. Cuando aparezca el estado Registrado, actualice el registro del proveedor de recursos Microsoft.ContainerService mediante el comando az provider register.

   az provider register --namespace Microsoft.ContainerService
   

Crear un clúster de AKS con bloqueo de grupo de recursos de nodo

Cree un clúster con bloqueo de grupo de recursos del nodo mediante el comando az aks create con la marca --nrg-lockdown-restriction-level establecida en ReadOnly. Esta configuración le permite ver los recursos, pero no modificarlos.

az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP_NAME \
    --nrg-lockdown-restriction-level ReadOnly \
    --generate-ssh-keys

Actualizar un clúster existente con bloqueo de grupo de recursos de nodo

Actualice un clúster existente con bloqueo de grupo de recursos del nodo mediante el comando az aks update con la marca --nrg-lockdown-restriction-level establecida en ReadOnly. Esta configuración le permite ver los recursos, pero no modificarlos.

az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly

Eliminar el bloqueo de grupo de recursos de nodo de un clúster

Quite el bloqueo de grupo de recursos del nodo de un clúster existente mediante el comando az aks update con la marca --nrg-restriction-level establecida en Unrestricted. Esta configuración le permite ver y modificar los recursos.

az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted

Pasos siguientes

Para más información sobre el grupo de recursos del nodo en AKS, consulte grupo de recursos del nodo.