Wdrażanie w pełni zarządzanej grupy zasobów przy użyciu blokady grupy zasobów węzła (wersja zapoznawcza) w usłudze Azure Kubernetes Service (AKS)
Usługa AKS wdraża infrastrukturę w ramach subskrypcji na potrzeby nawiązywania połączenia z aplikacjami i uruchamiania ich. Zmiany wprowadzone bezpośrednio w zasobach w grupie zasobów węzła mogą mieć wpływ na operacje klastra lub powodować przyszłe problemy. Na przykład skalowanie, magazyn lub konfiguracje sieci powinny być wykonywane za pośrednictwem interfejsu API platformy Kubernetes, a nie bezpośrednio w tych zasobach.
Aby zapobiec wprowadzeniu zmian w grupie zasobów węzła, można zastosować przypisanie odmowy i zablokować użytkownikom modyfikowanie zasobów utworzonych w ramach klastra usługi AKS.
Ważne
Funkcje usługi AKS w wersji zapoznawczej są dostępne na zasadzie samoobsługi. Wersje zapoznawcze są udostępniane w wersji "as is" i "jako dostępne" i są wykluczone z umów dotyczących poziomu usług i ograniczonej gwarancji. Wersje zapoznawcze usługi AKS są częściowo objęte pomocą techniczną dla klientów. W związku z tym te funkcje nie są przeznaczone do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz następujące artykuły pomocy technicznej:
Zanim rozpoczniesz
Przed rozpoczęciem potrzebne są następujące zasoby zainstalowane i skonfigurowane:
- Interfejs wiersza polecenia platformy Azure w wersji 2.44.0 lub nowszej. Uruchom polecenie
az --version, aby znaleźć bieżącą wersję. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure. aks-previewRozszerzenie w wersji 0.5.126 lub nowszej.- Flaga funkcji zarejestrowana
NRGLockdownPrevieww subskrypcji.
Instalowanie rozszerzenia interfejsu aks-preview wiersza polecenia
Zainstaluj lub zaktualizuj aks-preview rozszerzenie za pomocą az extension add polecenia lub az extension update .
# Install the aks-preview extension
az extension add --name aks-preview
# Update to the latest version of the aks-preview extension
az extension update --name aks-preview
Rejestrowanie flagi NRGLockdownPreview funkcji
Zarejestruj flagę
NRGLockdownPreviewfunkcji przy użyciuaz feature registerpolecenia .az feature register --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"Wyświetlenie stanu Zarejestrowane trwa kilka minut.
Sprawdź stan rejestracji przy użyciu
az feature showpolecenia .az feature show --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"Gdy stan będzie odzwierciedlał wartość Zarejestrowano, odśwież rejestrację dostawcy zasobów Microsoft.ContainerService przy użyciu
az provider registerpolecenia .az provider register --namespace Microsoft.ContainerService
Tworzenie klastra usługi AKS z blokadą grupy zasobów węzła
Utwórz klaster z blokadą grupy zasobów węzła przy użyciu az aks create polecenia z flagą ustawioną --nrg-lockdown-restriction-level na ReadOnly. Ta konfiguracja umożliwia wyświetlanie zasobów, ale nie ich modyfikowanie.
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP_NAME \
--nrg-lockdown-restriction-level ReadOnly \
--generate-ssh-keys
Aktualizowanie istniejącego klastra za pomocą blokady grupy zasobów węzła
Zaktualizuj istniejący klaster za pomocą blokady grupy zasobów węzła przy użyciu az aks update polecenia z flagą ustawioną --nrg-lockdown-restriction-level na ReadOnly. Ta konfiguracja umożliwia wyświetlanie zasobów, ale nie ich modyfikowanie.
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly
Usuwanie blokady grupy zasobów węzła z klastra
Usuń blokadę grupy zasobów węzła z istniejącego klastra przy użyciu az aks update polecenia z flagą ustawioną --nrg-restriction-level na Unrestricted. Ta konfiguracja umożliwia wyświetlanie i modyfikowanie zasobów.
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted
Następne kroki
Aby dowiedzieć się więcej o grupie zasobów węzła w usłudze AKS, zobacz Grupa zasobów węzła.
Azure Kubernetes Service