Esercitazione: Creare un cluster con Azure Linux con OS Guard (anteprima) per Azure Kubernetes Service (AKS)

Distribuire ed esplorare

In questa esercitazione, parte 1 di cinque, si apprenderà come:

• Installare l'interfaccia della riga di comando di Kubernetes kubectl.
• Installare l'estensione del Azure CLI.
• Registrare il flag di funzionalità AzureLinuxOSGuardPreview.
• Crea gruppo di risorse di Azure.
• Creare e distribuire un cluster Linux di Azure con OS Guard.
• Configurare kubectl per connettersi ad Azure Linux con il cluster OS Guard.

Nelle esercitazioni successive si apprenderà come aggiungere un pool di nodi di Azure Linux con OS Guard a un cluster esistente ed eseguire la migrazione di nodi esistenti in Linux di Azure con OS Guard.

Considerazioni e limitazioni

Prima di iniziare, esaminare le considerazioni e le limitazioni seguenti per Azure Linux con OS Guard (anteprima):

• È necessaria la versione 1.32.0 o successiva di Kubernetes per Azure Linux con OS Guard.
• Federal Information Process Standard (FIPS) e Avvio attendibile sono abilitati in tutte le immagini di Azure Linux con protezione del sistema operativo.
• Azure CLI e i modelli ARM sono gli unici metodi di distribuzione supportati per Azure Linux con OS Guard su AKS in anteprima. PowerShell e Terraform non sono supportati.
• Le immagini Arm64 non sono supportate con Azure Linux con protezione del sistema operativo nel servizio Azure Kubernetes, disponibile in anteprima.
• NodeImage e None sono gli unici canali di aggiornamento del sistema operativo supportati per Azure Linux con OS Guard su AKS. Unmanaged e SecurityPatch non sono compatibili con Azure Linux con OS Guard a causa della directory /usr non modificabile.
• Artifact Streaming non è supportato.
• Il sandboxing dei pod non è supportato.
• Le macchine virtuali riservate non sono supportate.
• Le macchine virtuali di prima generazione non sono supportate.

Prerequisiti

• È necessaria la versione più recente dell'interfaccia della riga di comando di Azure. Usare il az version comando per trovare la versione. Per eseguire l'aggiornamento alla versione più recente, usare il az upgrade comando .
• aks-preview Installare Estensione dell'interfaccia della riga di comando di Azure.
• Registrare il flag di funzionalità AzureLinuxOSGuardPreview.

Installare l'estensione dell'interfaccia della riga di comando di Azure aks-preview

Importante

Le funzionalità di anteprima di AKS sono disponibili su base self-service, su scelta. Le anteprime vengono fornite "così come sono" e "come disponibili" e sono escluse dai contratti di servizio e dalla garanzia limitata. Le anteprime del servizio Azure Kubernetes sono parzialmente coperte dal supporto clienti con la massima diligenza possibile. Di conseguenza, queste funzionalità non sono destinate all'uso in produzione. Per altre informazioni, vedere gli articoli di supporto seguenti:

• Criteri di supporto di AKS
• Domande frequenti sul supporto tecnico di Azure

• Installare l'estensioneaks-preview usando il comando az extension add.

  az extension add --name aks-preview
  

• Eseguire l'aggiornamento alla versione più recente dell'estensione usando il comando az extension update.

  az extension update --name aks-preview
  

Registrare il flag di funzionalità di anteprima per Azure Linux OS Guard

1. Registrare il flag della funzionalità AzureLinuxOSGuardPreview usando il comando az feature register.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

   Sono necessari alcuni minuti per visualizzare lo stato Registered.

2. Verificare lo stato della registrazione usando il comando az feature show.

   az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

3. Quando lo stato diventa Registrato, aggiornare la registrazione del provider di risorse Microsoft.ContainerService usando il comando az provider register.

   az provider register --namespace "Microsoft.ContainerService"
   

Creare un gruppo di risorse

Un gruppo di risorse di Azure è un gruppo logico in cui le risorse di Azure vengono distribuite e gestite. Quando si crea un gruppo di risorse, è necessario specificare una posizione. Questa posizione è:

• Posizione di archiviazione dei metadati del gruppo di risorse.
• Dove vengono eseguite le risorse in Azure se non si specifica un'altra area durante la creazione di una risorsa.

Creare un gruppo di risorse usando il comando az group create. Prima di eseguire il comando, le variabili di ambiente vengono dichiarate per garantire nomi di risorse univoci per ogni distribuzione.

export REGION="EastUS2"
az group create --name $RESOURCE_GROUP_NAME --location $REGION

Output di esempio:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx",
  "location": "EastUS2",
  "managedBy": null,
  "name": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "tags": null,
  "type": "Microsoft.Resources/resourceGroups"
}

Creare un cluster Linux di Azure con OS Guard (anteprima)

Creare un cluster AKS usando il comando az aks create con il parametro --os-sku AzureLinuxOSGuard per effettuare il provisioning di un cluster Azure Linux con OS Guard. L'abilitazione di FIPS, avvio protetto e vtpm è necessaria per usare Azure Linux con OS Guard. L'esempio seguente crea un cluster Linux di Azure con OS Guard:

az aks create --name $MY_AZ_CLUSTER_NAME --resource-group $MY_RESOURCE_GROUP_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm

Output di esempio:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/testAzureLinuxOSGuardClusterxxxxx",
  "location": "WestUS2",
  "name": "testAzureLinuxOSGuardClusterxxxxx",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "type": "Microsoft.ContainerService/managedClusters"
}

Il comando viene completato dopo pochi minuti e vengono restituite informazioni in formato JSON sul cluster.

Connettersi al cluster usando kubectl

Configurare kubectl per connettersi al cluster Kubernetes usando il comando az aks get-credentials. L'esempio seguente ottiene le credenziali per il cluster host contenitore Linux di Azure usando il gruppo di risorse e il nome del cluster creati in precedenza:

az aks get-credentials --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME

Verificare la connessione al cluster usando il kubectl get nodes comando per restituire un elenco dei nodi del cluster.

kubectl get nodes

Output di esempio:

NAME                           STATUS   ROLES   AGE     VERSION
aks-nodepool1-00000000-0       Ready    agent   10m     v1.20.7
aks-nodepool1-00000000-1       Ready    agent   10m     v1.20.7

Passaggi successivi

In questa esercitazione è stato creato e distribuito un cluster Linux di Azure con OS Guard. Nell'esercitazione successiva si apprenderà come aggiungere un pool di nodi di Azure Linux con OS Guard a un cluster esistente.

Aggiungere un pool di nodi linux di Azure con OS Guard