Een volledig beheerde resourcegroep implementeren met behulp van knooppuntresourcegroepvergrendeling (preview) in Azure Kubernetes Service (AKS)
AKS implementeert infrastructuur in uw abonnement om verbinding te maken met en uw toepassingen uit te voeren. Wijzigingen die rechtstreeks aan resources in de knooppuntresourcegroep zijn aangebracht, kunnen van invloed zijn op clusterbewerkingen of toekomstige problemen veroorzaken. Schaalaanpassing, opslag of netwerkconfiguraties moeten bijvoorbeeld worden uitgevoerd via de Kubernetes-API en niet rechtstreeks op deze resources.
Als u wilt voorkomen dat wijzigingen worden aangebracht in de resourcegroep van het knooppunt, kunt u een weigeringstoewijzing toepassen en voorkomen dat gebruikers resources wijzigen die zijn gemaakt als onderdeel van het AKS-cluster.
Belangrijk
AKS preview-functies zijn beschikbaar op selfservice, opt-in basis. Previews worden geleverd 'zoals is' en 'als beschikbaar' en ze worden uitgesloten van de serviceovereenkomsten en beperkte garantie. AKS-previews worden gedeeltelijk gedekt door klantondersteuning op basis van best effort. Daarom zijn deze functies niet bedoeld voor productiegebruik. Zie de volgende ondersteuningsartikelen voor meer informatie:
Voordat u begint
Voordat u begint, hebt u de volgende resources geïnstalleerd en geconfigureerd:
- De Azure CLI versie 2.44.0 of hoger. Voer deze opdracht uit
az --versionom de huidige versie te vinden. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren. - De
aks-previewextensieversie 0.5.126 of hoger. - De
NRGLockdownPreviewfunctievlag die is geregistreerd voor uw abonnement.
aks-preview De CLI-extensie installeren
Installeer of werk de aks-preview extensie bij met behulp van de az extension add opdracht.az extension update
# Install the aks-preview extension
az extension add --name aks-preview
# Update to the latest version of the aks-preview extension
az extension update --name aks-preview
NRGLockdownPreview De functievlag registreren
Registreer de
NRGLockdownPreviewfunctievlag met behulp van deaz feature registeropdracht.az feature register --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"Het duurt enkele minuten voordat de status Geregistreerd wordt weergegeven.
Controleer de registratiestatus met behulp van de
az feature showopdracht.az feature show --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"Wanneer de status Geregistreerd weergeeft, vernieuwt u de registratie van de Microsoft.ContainerService-resourceprovider met behulp van de
az provider registeropdracht.az provider register --namespace Microsoft.ContainerService
Een AKS-cluster maken met vergrendeling van knooppuntresourcegroepen
Maak een cluster met vergrendeling van de knooppuntresourcegroep met behulp van de az aks create opdracht waarop de --nrg-lockdown-restriction-level vlag is ReadOnlyingesteld. Met deze configuratie kunt u de resources weergeven, maar deze niet wijzigen.
az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly
Een bestaand cluster bijwerken met vergrendeling van knooppuntresourcegroepen
Werk een bestaand cluster bij met vergrendeling van de knooppuntresourcegroep met behulp van de az aks update opdracht waarop de --nrg-lockdown-restriction-level vlag is ReadOnlyingesteld. Met deze configuratie kunt u de resources weergeven, maar deze niet wijzigen.
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly
Vergrendeling van knooppuntresourcegroepen verwijderen uit een cluster
Verwijder de vergrendeling van knooppuntresourcegroepen uit een bestaand cluster met behulp van de az aks update opdracht waarop de --nrg-restriction-level vlag is Unrestrictedingesteld. Met deze configuratie kunt u de resources weergeven en wijzigen.
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted
Volgende stappen
Zie De knooppuntresourcegroep in AKS voor meer informatie over de knooppuntresourcegroep.