Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W usłudze Azure Kubernetes Service (AKS) węzły z tymi samymi konfiguracjami są grupowane razem w pule węzłów. Każda pula węzłów zawiera maszyny wirtualne, które uruchamiają aplikacje. W poprzednim samouczku utworzono klaster Azure Linux z funkcją OS Guard oraz z pojedynczą pulą węzłów. Aby spełnić różne wymagania dotyczące zasobów obliczeniowych, magazynu lub zabezpieczeń aplikacji, możesz dodać pule węzłów użytkownika.
Z tego samouczka dowiesz się, jak:
- Dodaj pulę węzłów OS Guard z systemem Linux na platformie Azure do istniejącego klastra.
- Sprawdź stan pul węzłów.
W kolejnych samouczkach dowiesz się, jak migrować węzły do systemu Linux platformy Azure za pomocą funkcji OS Guard i włączyć telemetrię do monitorowania klastrów.
Uwagi i ograniczenia
Przed rozpoczęciem zapoznaj się z następującymi zagadnieniami i ograniczeniami dotyczącymi platformy Azure dla systemu Linux z funkcją OS Guard (wersja zapoznawcza):
- Platforma Kubernetes w wersji 1.32.0 lub nowszej jest wymagana dla systemu Linux platformy Azure z funkcją OS Guard.
- Wszystkie obrazy systemu Azure Linux z OS Guard mają włączony standard Federal Information Processing Standard (FIPS) oraz Trusted Launch.
- Interfejs wiersza polecenia platformy Azure (Azure CLI) i szablony ARM są jedynymi obsługiwanymi metodami wdrażania dla Azure Linux z funkcją OS Guard w AKS w wersji preview. Program PowerShell i program Terraform nie są obsługiwane.
- Obrazy Arm64 nie są obsługiwane na platformie Azure Linux z funkcją OS Guard w usłudze AKS w wersji zapoznawczej.
-
NodeImageiNonesą jedynymi obsługiwanymi kanałami uaktualniania systemu operacyjnego dla systemu Linux platformy Azure z funkcją OS Guard w usłudze AKS.UnmanagediSecurityPatchsą niezgodne z systemem Linux platformy Azure z funkcją OS Guard ze względu na niezmienny katalog /usr. - Przesyłanie strumieniowe artefaktów nie jest obsługiwane.
- Pod Sandboxing nie jest obsługiwany.
- Poufne maszyny wirtualne (CVM) nie są obsługiwane.
- Maszyny wirtualne 1. generacji nie są obsługiwane.
Wymagania wstępne
- W poprzednim samouczku utworzono i wdrożono system Azure Linux z klastrem OS Guard. Jeśli te kroki nie zostały wykonane i chcesz wykonać te czynności, zobacz Samouczek 1: tworzenie klastra z systemem Linux platformy Azure za pomocą funkcji OS Guard dla usługi AKS.
- Potrzebna jest najnowsza wersja interfejsu wiersza polecenia platformy Azure. Użyj polecenia ,
az versionaby znaleźć wersję. Aby przeprowadzić uaktualnienie do najnowszej wersji, użyjaz upgradepolecenia .
Zainstaluj rozszerzenie aks-preview dla Azure CLI
Ważne
Funkcje usługi AKS w wersji zapoznawczej są dostępne na zasadzie samoobsługi i wymagają zapisania się. Wersje zapoznawcze są udostępniane w wersji "as is" i "jako dostępne" i są wykluczone z umów dotyczących poziomu usług i ograniczonej gwarancji. Wersje zapoznawcze usługi AKS są częściowo objęte pomocą techniczną dla klientów, świadczoną w miarę możliwości. W związku z tym te funkcje nie są przeznaczone do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz następujące artykuły pomocy technicznej:
Zainstaluj rozszerzenie
aks-previewprzy użyciu poleceniaaz extension add.az extension add --name aks-previewPrzeprowadź aktualizację do najnowszej wersji rozszerzenia przy użyciu
az extension updatepolecenia .az extension update --name aks-preview
Rejestrowanie flagi funkcji Azure Linux OS Guard w wersji zapoznawczej
Zarejestruj flagę funkcji
AzureLinuxOSGuardPreviewza pomocą poleceniaaz feature register.az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Wyświetlenie stanu Zarejestrowane trwa kilka minut.
Sprawdź stan rejestracji przy użyciu
az feature showpolecenia .az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Gdy stan odzwierciedla Zarejestrowano, użyj polecenia
az provider register, aby odświeżyć rejestrację dostawcy zasobówMicrosoft.ContainerService.az provider register --namespace "Microsoft.ContainerService"
Dodaj pulę węzłów dla systemu Linux na platformie Azure z funkcją OS Guard
Dodaj pulę węzłów Azure Linux z funkcją OS Guard do istniejącego klastra przy użyciu polecenia az aks nodepool add i określ --os-sku AzureLinuxOSGuard. Włączenie programu FIPS, bezpiecznego rozruchu i protokołu vtpm jest również wymagane do korzystania z systemu Linux platformy Azure z funkcją OS Guard. Poniższy przykład tworzy pulę węzłów o nazwie osgNodepool, która dodaje trzy węzły w klastrze testAzureLinuxOSGuardCluster w grupie zasobów testAzureLinuxOSGuardResourceGroup. Zmienne środowiskowe są deklarowane, a losowy sufiks jest dołączany do grupy zasobów i nazw klastrów w celu zapewnienia unikatowości.
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export NODEPOOL_NAME="np$RANDOM_SUFFIX"
az aks nodepool add \
--resource-group $RESOURCE_GROUP \
--cluster-name $CLUSTER_NAME \
--name $NODEPOOL_NAME \
--node-count 3 \
--os-sku AzureLinuxOSGuard
--node-osdisk-type Managed
--enable-fips-image
--enable-secure-boot
--enable-vtpm
Przykładowy wynik:
{
"agentPoolType": "VirtualMachineScaleSets",
"count": 3,
"name": "osgNodepool",
"osType": "Linux",
"provisioningState": "Succeeded",
"resourceGroup": "testAzureLinuxOSGuardResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools"
}
Uwaga / Notatka
Nazwa puli węzłów musi zaczynać się od małej litery i może zawierać tylko znaki alfanumeryczne. W przypadku pul węzłów systemu Linux długość musi zawierać się między jednym i 12 znakami.
Sprawdź stan puli węzłów
Sprawdź stan pul węzłów przy użyciu az aks nodepool list polecenia i określ nazwę grupy zasobów i klastra.
az aks nodepool list --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME
Przykładowy wynik:
[
{
"agentPoolType": "VirtualMachineScaleSets",
"availabilityZones": null,
"count": 3,
"enableAutoScaling": false,
"enableEncryptionAtHost": false,
"enableFips": false,
"enableNodePublicIp": false,
"id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
"maxPods": 110,
"mode": "User",
"name": "npxxxxxx",
"nodeImageVersion": "AzureLinuxContainerHost-2025.10.03",
"orchestratorVersion": "1.32.6",
"osDiskSizeGb": 128,
"osDiskType": "Managed",
"osSku": "AzureLinux",
"osType": "Linux",
"powerState": {
"code": "Running"
},
"provisioningState": "Succeeded",
"resourceGroup": "myAKSResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools",
"vmSize": "Standard_DS2_v2"
},
{
"agentPoolType": "VirtualMachineScaleSets",
"availabilityZones": null,
"count": 3,
"enableAutoScaling": false,
"enableEncryptionAtHost": false,
"enableFips": false,
"enableNodePublicIp": false,
"id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
"maxPods": 110,
"mode": "User",
"name": "npxxxxxx",
"nodeImageVersion": "AzureLinuxOSGuard-2025.10.03",
"orchestratorVersion": "1.32.6",
"osDiskSizeGb": 128,
"osDiskType": "Managed",
"osSku": "AzureLinuxOSGuard",
"osType": "Linux",
"powerState": {
"code": "Running"
},
"provisioningState": "Succeeded",
"resourceGroup": "myAKSResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools",
"vmSize": "Standard_DS2_v2"
}
]
Dalsze kroki
W tym samouczku dodałeś do istniejącego klastra pulę węzłów Linux na platformie Azure z funkcją OS Guard. W następnym samouczku dowiesz się, jak migrować istniejące węzły do systemu Linux platformy Azure za pomocą funkcji OS Guard.