AZURE CLI를 사용하여 AKS 클러스터용 OS Guard 컨테이너 호스트가 있는 Azure Linux를 배포하여 OS Guard로 Azure Linux를 시작합니다. 필수 구성 요소를 설치한 후 aks-preview Azure CLI 확장을 설치하고, AzureLinuxOSGuardPreview 기능 플래그를 등록하고, 리소스 그룹을 만들고, AKS 클러스터를 만들고, 클러스터에 연결하고, 클러스터에서 샘플 다중 컨테이너 애플리케이션을 실행합니다.
고려사항 및 제한사항
시작하기 전에 OS Guard(미리 보기)를 사용하여 Azure Linux에 대한 다음 고려 사항 및 제한 사항을 검토합니다.
- OS Guard를 사용하는 Azure Linux에는 Kubernetes 버전 1.32.0 이상이 필요합니다.
- OS Guard 이미지가 있는 모든 Azure Linux에는 FIPS(Federal Information Process Standard) 및 신뢰할 수 있는 시작이 활성화되어 있습니다.
- Azure CLI 및 ARM 템플릿은 미리 보기에서 AKS에서 OS Guard를 사용하는 Azure Linux에 대해 유일하게 지원되는 배포 방법입니다. PowerShell 및 Terraform은 지원되지 않습니다.
- Arm64 이미지는 미리 보기로 AKS의 OS Guard를 사용하는 Azure Linux에서 지원되지 않습니다.
-
NodeImage및None는 AKS 에서 OS Guard 를 사용하는 Azure Linux 에 대해 유일하게 지원되는 OS 업그레이드 채널입니다.Unmanaged과SecurityPatch은 불변의 /usr 디렉터리로 인해 OS Guard와 함께 사용하는 Azure Linux와 호환되지 않습니다. - 아티팩트 스트리밍 은 지원되지 않습니다.
- Pod 샌드박싱 은 지원되지 않습니다.
- CVM(기밀 가상 머신) 은 지원되지 않습니다.
- Gen 1 VM(가상 머신) 은 지원되지 않습니다.
필수 조건
-
Azure 계정이 없는 경우 시작하기 전에 체험 계정을 만듭니다.
Bash 환경을 Azure Cloud Shell에서 사용합니다. 자세한 내용은 Azure Cloud Shell 빠른 시작 - Bash를 참조하세요.
CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치하십시오. Windows 또는 macOS에서 실행 중인 경우 Docker 컨테이너에서 Azure CLI를 실행하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너에서 Azure CLI를 실행하는 방법을 참조하세요.
- 로컬 설치를 사용하는 경우 az login 명령을 사용하여 Azure CLI에 로그인합니다. 인증 프로세스를 완료하려면 터미널에 표시되는 단계를 수행합니다. 다른 로그인 옵션은 Azure CLI를 사용하여 로그인을 참조하세요.
- 메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 확장에 대한 자세한 내용은 Azure CLI에서 확장 사용을 참조하세요.
-
az version실행하여 설치된 버전 및 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.
aks-preview Azure CLI 확장 설치
중요합니다
AKS 미리 보기 기능은 셀프 서비스에서 사용할 수 있습니다(옵트인 방식). 미리 보기는 "있는 그대로" 및 "사용 가능한 상태로" 제공되며 서비스 수준 계약 및 제한적 보증에서 제외됩니다. AKS 미리 보기의 일부는 고객 지원팀에서 최선을 다해 지원합니다. 따라서 이러한 기능은 프로덕션 용도로 사용할 수 없습니다. 자세한 내용은 다음 지원 문서를 참조하세요.
aks-preview 확장을 설치하려면 다음 명령을 실행합니다.
az extension add --name aks-preview
다음 명령을 실행하여 릴리스된 확장의 최신 버전으로 업데이트합니다.
az extension update --name aks-preview
AzureLinuxOSGuardPreview 기능 플래그 등록
다음 예제와 같이 AzureLinuxOSGuardPreview 명령을 사용하여 기능 플래그를 등록합니다.
az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
상태가 Registered로 표시되는 데 몇 분 정도 걸립니다. az feature show 명령을 사용하여 등록 상태를 확인합니다.
az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
상태가 등록됨으로 표시되면 az provider register 명령을 사용하여 Microsoft.ContainerService 리소스 공급자의 등록을 새로 고칩니다.
az provider register --namespace "Microsoft.ContainerService"
리소스 그룹 만들기
Azure 리소스 그룹은 Azure 리소스가 배포되고 관리되는 논리 그룹입니다. 리소스 그룹을 만들 때는 위치를 지정해야 합니다. 이 위치는 다음과 같습니다.
- 리소스 그룹 메타데이터의 스토리지 위치입니다.
- 리소스를 만드는 동안 다른 지역을 지정하지 않은 경우 리소스가 Azure에서 실행되는 위치입니다.
az group create 명령을 사용하여 리소스 그룹을 만듭니다.
export RANDOM_ID="$(openssl rand -hex 3)"
export MY_RESOURCE_GROUP_NAME="myAzureLinuxOSGuardResourceGroup$RANDOM_ID"
export REGION="westeurope"
az group create --name $MY_RESOURCE_GROUP_NAME --location $REGION
결과:
{
"id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/$MY_RESOURCE_GROUP_NAMExxxxxx",
"location": "$REGION",
"managedBy": null,
"name": "$MY_RESOURCE_GROUP_NAME",
"properties": {
"provisioningState": "Succeeded"
},
"tags": null,
"type": "Microsoft.Resources/resourceGroups"
}
OS Guard 클러스터를 사용하여 Azure Linux 만들기
매개 변수와 함께 az aks create 명령을 사용하여 --os-sku AKS 클러스터를 만들어 OS Guard 이미지가 있는 Azure Linux로 AKS 클러스터를 프로비전합니다.
export MY_AZ_CLUSTER_NAME="myAzureLinuxOSGuardCluster$RANDOM_ID"
az aks create --name $MY_AZ_CLUSTER_NAME --resource-group $MY_RESOURCE_GROUP_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm
몇 분 후 명령이 완료되면 클러스터에 대한 JSON 형식 정보가 반환됩니다.
클러스터에 연결
Kubernetes 클러스터를 관리하려면 Kubernetes 명령줄 클라이언트 kubectl를 사용합니다. Azure Cloud Shell을 사용하는 경우 kubectl 이미 설치되어 있습니다.
kubectl을 로컬로 설치하려면 az aks install-cli 명령을 사용합니다.
kubectl명령을 사용하여 Kubernetes 클러스터에 연결하도록az aks get-credentials을 구성합니다. 이 명령은 자격 증명을 다운로드하고 이를 사용하도록 Kubernetes CLI를 구성합니다.az aks get-credentials --resource-group $MY_RESOURCE_GROUP_NAME --name $MY_AZ_CLUSTER_NAMEkubectl get명령을 사용하여 클러스터에 대한 연결을 확인합니다. 이 명령은 클러스터 노드 목록을 반환합니다.kubectl get nodes
애플리케이션 배포
응용 프로그램을 배포하려면 매니페스트 파일을 사용하여 AKS Store 응용 프로그램을 실행하는 데 필요한 모든 개체를 만듭니다. Kubernetes 매니페스트 파일은 실행할 컨테이너 이미지와 같은 클러스터에 대해 원하는 상태를 정의합니다. 매니페스트에는 다음 Kubernetes 배포 및 서비스가 포함됩니다.
- 스토어 프런트: 고객이 제품을 보고 주문을 할 수 있는 웹 애플리케이션입니다.
- 제품 서비스: 제품 정보를 표시합니다.
- 주문 서비스: 주문을 합니다.
- Rabbit MQ: 주문 큐에 대한 메시지 큐입니다.
비고
프로덕션을 위한 영구 스토리지 없이 Rabbit MQ와 같은 상태 저장 컨테이너를 실행하지 않는 것이 좋습니다. 여기서는 간단히 하기 위해 사용되지만 Azure Cosmos DB 또는 Azure Service Bus와 같은 관리되는 서비스를 사용하는 것이 좋습니다.
파일
aks-store-quickstart.yaml을 만들고 다음 매니페스트에 복사합니다.apiVersion: apps/v1 kind: StatefulSet metadata: name: rabbitmq spec: serviceName: rabbitmq replicas: 1 selector: matchLabels: app: rabbitmq template: metadata: labels: app: rabbitmq spec: nodeSelector: "kubernetes.io/os": linux containers: - name: rabbitmq image: mcr.microsoft.com/mirror/docker/library/rabbitmq:3.10-management-alpine ports: - containerPort: 5672 name: rabbitmq-amqp - containerPort: 15672 name: rabbitmq-http env: - name: RABBITMQ_DEFAULT_USER value: "username" - name: RABBITMQ_DEFAULT_PASS value: "password" resources: requests: cpu: 10m memory: 128Mi limits: cpu: 250m memory: 256Mi volumeMounts: - name: rabbitmq-enabled-plugins mountPath: /etc/rabbitmq/enabled_plugins subPath: enabled_plugins volumes: - name: rabbitmq-enabled-plugins configMap: name: rabbitmq-enabled-plugins items: - key: rabbitmq_enabled_plugins path: enabled_plugins --- apiVersion: v1 data: rabbitmq_enabled_plugins: | [rabbitmq_management,rabbitmq_prometheus,rabbitmq_amqp1_0]. kind: ConfigMap metadata: name: rabbitmq-enabled-plugins --- apiVersion: v1 kind: Service metadata: name: rabbitmq spec: selector: app: rabbitmq ports: - name: rabbitmq-amqp port: 5672 targetPort: 5672 - name: rabbitmq-http port: 15672 targetPort: 15672 type: ClusterIP --- apiVersion: apps/v1 kind: Deployment metadata: name: order-service spec: replicas: 1 selector: matchLabels: app: order-service template: metadata: labels: app: order-service spec: nodeSelector: "kubernetes.io/os": linux containers: - name: order-service image: ghcr.io/azure-samples/aks-store-demo/order-service:latest ports: - containerPort: 3000 env: - name: ORDER_QUEUE_HOSTNAME value: "rabbitmq" - name: ORDER_QUEUE_PORT value: "5672" - name: ORDER_QUEUE_USERNAME value: "username" - name: ORDER_QUEUE_PASSWORD value: "password" - name: ORDER_QUEUE_NAME value: "orders" - name: FASTIFY_ADDRESS value: "0.0.0.0" resources: requests: cpu: 1m memory: 50Mi limits: cpu: 75m memory: 128Mi startupProbe: httpGet: path: /health port: 3000 failureThreshold: 5 initialDelaySeconds: 20 periodSeconds: 10 readinessProbe: httpGet: path: /health port: 3000 failureThreshold: 3 initialDelaySeconds: 3 periodSeconds: 5 livenessProbe: httpGet: path: /health port: 3000 failureThreshold: 5 initialDelaySeconds: 3 periodSeconds: 3 initContainers: - name: wait-for-rabbitmq image: busybox command: ['sh', '-c', 'until nc -zv rabbitmq 5672; do echo waiting for rabbitmq; sleep 2; done;'] resources: requests: cpu: 1m memory: 50Mi limits: cpu: 75m memory: 128Mi --- apiVersion: v1 kind: Service metadata: name: order-service spec: type: ClusterIP ports: - name: http port: 3000 targetPort: 3000 selector: app: order-service --- apiVersion: apps/v1 kind: Deployment metadata: name: product-service spec: replicas: 1 selector: matchLabels: app: product-service template: metadata: labels: app: product-service spec: nodeSelector: "kubernetes.io/os": linux containers: - name: product-service image: ghcr.io/azure-samples/aks-store-demo/product-service:latest ports: - containerPort: 3002 env: - name: AI_SERVICE_URL value: "http://ai-service:5001/" resources: requests: cpu: 1m memory: 1Mi limits: cpu: 2m memory: 20Mi readinessProbe: httpGet: path: /health port: 3002 failureThreshold: 3 initialDelaySeconds: 3 periodSeconds: 5 livenessProbe: httpGet: path: /health port: 3002 failureThreshold: 5 initialDelaySeconds: 3 periodSeconds: 3 --- apiVersion: v1 kind: Service metadata: name: product-service spec: type: ClusterIP ports: - name: http port: 3002 targetPort: 3002 selector: app: product-service --- apiVersion: apps/v1 kind: Deployment metadata: name: store-front spec: replicas: 1 selector: matchLabels: app: store-front template: metadata: labels: app: store-front spec: nodeSelector: "kubernetes.io/os": linux containers: - name: store-front image: ghcr.io/azure-samples/aks-store-demo/store-front:latest ports: - containerPort: 8080 name: store-front env: - name: VUE_APP_ORDER_SERVICE_URL value: "http://order-service:3000/" - name: VUE_APP_PRODUCT_SERVICE_URL value: "http://product-service:3002/" resources: requests: cpu: 1m memory: 200Mi limits: cpu: 1000m memory: 512Mi startupProbe: httpGet: path: /health port: 8080 failureThreshold: 3 initialDelaySeconds: 5 periodSeconds: 5 readinessProbe: httpGet: path: /health port: 8080 failureThreshold: 3 initialDelaySeconds: 3 periodSeconds: 3 livenessProbe: httpGet: path: /health port: 8080 failureThreshold: 5 initialDelaySeconds: 3 periodSeconds: 3 --- apiVersion: v1 kind: Service metadata: name: store-front spec: ports: - port: 80 targetPort: 8080 selector: app: store-front type: LoadBalancerYAML 파일을 로컬에서 만들고 저장하는 경우 파일 업로드/다운로드 단추를 선택하고 로컬 파일 시스템에서 파일을 선택하여 매니페스트 파일을 CloudShell의 기본 디렉터리에 업로드할 수 있습니다.
kubectl apply명령을 사용하여 애플리케이션을 배포하고 YAML 매니페스트의 이름을 지정합니다.kubectl apply -f aks-store-quickstart.yaml
애플리케이션 테스트
공용 IP 주소 또는 애플리케이션 URL을 방문하여 애플리케이션이 실행 중인지 유효성을 검사할 수 있습니다.
다음 명령을 사용하여 애플리케이션 URL을 가져옵니다.
runtime="5 minutes"
endtime=$(date -ud "$runtime" +%s)
while [[ $(date -u +%s) -le $endtime ]]
do
STATUS=$(kubectl get pods -l app=store-front -o 'jsonpath={..status.conditions[?(@.type=="Ready")].status}')
echo $STATUS
if [ "$STATUS" == 'True' ]
then
export IP_ADDRESS=$(kubectl get service store-front --output 'jsonpath={..status.loadBalancer.ingress[0].ip}')
echo "Service IP Address: $IP_ADDRESS"
break
else
sleep 10
fi
done
curl $IP_ADDRESS
결과:
<!doctype html>
<html lang="">
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width,initial-scale=1">
<link rel="icon" href="/favicon.ico">
<title>store-front</title>
<script defer="defer" src="/js/chunk-vendors.df69ae47.js"></script>
<script defer="defer" src="/js/app.7e8cfbb2.js"></script>
<link href="/css/app.a5dc49f6.css" rel="stylesheet">
</head>
<body>
<div id="app"></div>
</body>
</html>
echo "You can now visit your web server at $IP_ADDRESS"
클러스터 삭제
더 이상 필요하지 않은 경우 불필요한 리소스를 정리하여 Azure 요금을 방지할 수 있습니다.
az group delete 명령을 사용하여 리소스 그룹, 컨테이너 서비스 및 모든 관련 리소스를 제거할 수 있습니다.
다음 단계
이 빠른 시작에서는 OS Guard 클러스터를 사용하여 Azure Linux를 배포했습니다. OS Guard를 사용하는 Azure Linux에 대해 자세히 알아보고 전체 클러스터 배포 및 관리 예제를 살펴보려면 OS Guard를 사용하여 Azure Linux 자습서를 계속 진행하세요.