Zelfstudie: Een Azure Linux-knooppuntgroep met OS Guard (preview) toevoegen aan een bestaand AKS-cluster (Azure Kubernetes Service)

Implementeren en verkennen

In Azure Kubernetes Service (AKS) worden knooppunten met dezelfde configuraties gegroepeerd in knooppuntgroepen. Elke knooppuntgroep bevat de virtuele machines (VM's) waarop uw toepassingen worden uitgevoerd. In de vorige zelfstudie hebt u een Azure Linux met OS Guard-cluster gemaakt met één knooppuntgroep. Als u wilt voldoen aan de verschillende reken-, opslag- of beveiligingsvereisten van uw toepassingen, kunt u gebruikersknooppuntgroepen toevoegen.

In deze zelfstudie, deel twee van vijf, leert u het volgende:

• Voeg een Azure Linux-knooppuntgroep met OS Guard toe aan een bestaand cluster.
• Controleer de status van uw knooppuntgroepen.

In latere zelfstudies leert u hoe u knooppunten migreert naar Azure Linux met OS Guard en telemetrie inschakelt om uw clusters te bewaken.

Overwegingen en beperkingen

Bekijk voordat u begint de volgende overwegingen en beperkingen voor Azure Linux met OS Guard (preview):

• Kubernetes versie 1.32.0 of hoger is vereist voor Azure Linux met OS Guard.
• Alle Azure Linux-installatiekopieën met OS Guard hebben FIPS (Federal Information Process Standard) en Trusted Launch ingeschakeld.
• Azure CLI- en ARM-sjablonen zijn de enige ondersteunde implementatiemethoden voor Azure Linux met OS Guard in AKS in preview. PowerShell en Terraform worden niet ondersteund.
• Arm64-images worden niet ondersteund met Azure Linux met OS Guard in AKS in preview.
• NodeImage en None zijn de enige ondersteunde kanalen voor het upgraden van besturingssystemen voor Azure Linux met OS Guard op AKS. Unmanaged en SecurityPatch zijn niet compatibel met Azure Linux met OS Guard vanwege de onveranderbare /usr-map.
• Artefactstreaming wordt niet ondersteund.
• Pod Sandboxing wordt niet ondersteund.
• Confidential Virtual Machines (CVM's) worden niet ondersteund.
• Virtuele machines (VM's) van Gen 1 worden niet ondersteund.

Vereiste voorwaarden

• In de vorige zelfstudie hebt u een Azure Linux gemaakt en geïmplementeerd met os Guard-cluster. Zie zelfstudie 1: Een cluster maken met Azure Linux met OS Guard voor AKS als u deze stappen nog niet hebt voltooid en u deze wilt volgen.
• U hebt de nieuwste versie van Azure CLI nodig. Gebruik de az version opdracht om de versie te vinden. Gebruik de az upgrade opdracht om een upgrade uit te voeren naar de nieuwste versie.

De Azure CLI-extensie aks-preview installeren

Belangrijk

AKS preview-functies zijn beschikbaar op selfservice, opt-in basis. Previews worden geleverd 'zoals het is' en 'voor zover beschikbaar' en zijn uitgesloten van de serviceovereenkomsten en beperkte garantie. AKS-previews worden gedeeltelijk gedekt door klantondersteuning naar best vermogen. Zodoende zijn deze functies niet bedoeld voor productiegebruik. Zie de volgende ondersteuningsartikelen voor meer informatie:

• Ondersteuningsbeleid voor AKS
• Veelgestelde vragen over ondersteuning voor Azure

• Installeer de aks-preview extensie met behulp van de az extension add opdracht.

  az extension add --name aks-preview
  

• Werk bij naar de nieuwste versie van de extensie met behulp van de az extension update opdracht.

  az extension update --name aks-preview
  

De Azure Linux OS Guard Preview-functie-vlag registreren

1. Registreer de AzureLinuxOSGuardPreview functievlag met behulp van de az feature register opdracht.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

   Het duurt enkele minuten voordat de status Geregistreerd wordt weergegeven.

2. Controleer de registratiestatus met behulp van de az feature show opdracht.

   az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

3. Wanneer de status Geregistreerd is, vernieuwt u de registratie van de Microsoft.ContainerService resourceprovider met behulp van de az provider register opdracht.

   az provider register --namespace "Microsoft.ContainerService"
   

Een Azure Linux toevoegen met OS Guard-knooppuntgroep

Voeg een Azure Linux-knooppuntgroep met OS Guard toe aan uw bestaande cluster door gebruik te maken van de az aks nodepool add opdracht en specificeer --os-sku AzureLinuxOSGuard. Het inschakelen van FIPS, beveiligd opstarten en vtpm zijn ook vereist voor het gebruik van Azure Linux met OS Guard. In het volgende voorbeeld wordt een knooppuntgroep gemaakt met de naam osgNodepool waarmee drie knooppunten worden toegevoegd aan het testAzureLinuxOSGuardCluster-cluster in de resourcegroep testAzureLinuxOSGuardResourceGroup . Omgevingsvariabelen worden gedeclareerd en er wordt een willekeurig achtervoegsel toegevoegd aan de resourcegroep en clusternamen om de uniekheid te garanderen.

export RANDOM_SUFFIX=$(openssl rand -hex 3)
export NODEPOOL_NAME="np$RANDOM_SUFFIX"

az aks nodepool add \
    --resource-group $RESOURCE_GROUP \
    --cluster-name $CLUSTER_NAME \
    --name $NODEPOOL_NAME \
    --node-count 3 \
    --os-sku AzureLinuxOSGuard
    --node-osdisk-type Managed 
    --enable-fips-image 
    --enable-secure-boot 
    --enable-vtpm

Voorbeelduitvoer:

{
  "agentPoolType": "VirtualMachineScaleSets",
  "count": 3,
  "name": "osgNodepool",
  "osType": "Linux",
  "provisioningState": "Succeeded",
  "resourceGroup": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "type": "Microsoft.ContainerService/managedClusters/agentPools"
}

Opmerking

De naam van een knooppuntpool moet beginnen met een kleine letter en mag alleen alfanumerieke tekens bevatten. Voor Linux-knooppuntgroepen moet de lengte tussen één en 12 tekens lang zijn.

De status van de knooppuntgroep controleren

Controleer de status van uw knooppuntgroepen met behulp van de az aks nodepool list opdracht en geef de resourcegroep en clusternaam op.

az aks nodepool list --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME

Voorbeelduitvoer:

[
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxContainerHost-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinux",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  },
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxOSGuard-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinuxOSGuard",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  }
]

Volgende stappen

In deze zelfstudie hebt u een Azure Linux met OS Guard-knooppuntgroep toegevoegd aan uw bestaande cluster. In de volgende zelfstudie leert u hoe u bestaande knooppunten migreert naar Azure Linux met OS Guard.

Migreren naar Azure Linux met OS Guard