Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В службе Azure Kubernetes (AKS) узлы с одинаковыми конфигурациями группируются в пулы узлов. Каждый пул узлов содержит виртуальные машины (ВМ), которые запускают ваши приложения. В предыдущем руководстве вы создали azure Linux с кластером OS Guard с одним пулом узлов. Для удовлетворения различных требований к вычислительным ресурсам, хранилищу или безопасности приложений можно добавить пулы узлов пользователей.
В этом руководстве, часть 2 из пяти, вы узнаете, как:
- Добавьте Azure Linux с пулом узлов OS Guard в существующий кластер.
- Проверьте состояние пулов узлов.
В последующих руководствах вы узнаете, как перенести узлы в Azure Linux с ПОМОЩЬЮ OS Guard и включить телеметрию для мониторинга кластеров.
Соображения и ограничения
Прежде чем начать, ознакомьтесь со следующими рекомендациями и ограничениями для Azure Linux с OS Guard (предварительная версия):
- Kubernetes версии 1.32.0 или более поздней требуется для Azure Linux с OS Guard.
- Все образы Azure Linux с OS Guard включают в себя Федеральный стандарт обработки информации (FIPS) и доверенный запуск.
- Шаблоны Azure CLI и ARM являются единственными поддерживаемыми методами развертывания для Azure Linux с OS Guard в AKS в предварительной версии. PowerShell и Terraform не поддерживаются.
- Образы Arm64 не поддерживаются в Azure Linux вместе с OS Guard в AKS в предварительной версии.
-
NodeImageиNoneявляются единственными поддерживаемыми каналами обновления ОС для Azure Linux с OS Guard в AKS.UnmanagedиSecurityPatchнесовместимы с Azure Linux с OS Guard из-за неизменяемого каталога /usr. - Потоковая передача артефактов не поддерживается.
- Песочница Pod не поддерживается.
- Конфиденциальные виртуальные машины (CVM) не поддерживаются.
- Виртуальные машины 1-го поколения не поддерживаются.
Предпосылки
- В предыдущем руководстве вы создали и развернули Azure Linux с кластером OS Guard. Если вы не завершили эти шаги и хотите следовать им, см. Руководство 1: Создание кластера с помощью Azure Linux с OS Guard для AKS.
- Вам нужна последняя версия Azure CLI. Используйте команду
az version, чтобы найти версию. Чтобы обновить до последней версии, используйтеaz upgradeкоманду.
Установите расширение Azure CLI aks-preview
Это важно
Предварительные версии функций AKS доступны на условиях самообслуживания и добровольного выбора. Предварительные версии предоставляются "как есть" и "при наличии". На них не распространяются соглашения об уровне обслуживания и ограниченная гарантия. Предварительные версии AKS сопровождаются частичной поддержкой клиентов на основе принципа лучших усилий. Как таковые, эти функции не предназначены для использования в производстве. Для получения дополнительной информации ознакомьтесь со следующими статьями поддержки:
aks-previewУстановите расширение с помощьюaz extension addкоманды.az extension add --name aks-previewОбновите до последней версии расширения с помощью
az extension updateкоманды.az extension update --name aks-preview
Зарегистрируйте флаг функции предварительной версии Azure Linux OS Guard
Зарегистрируйте флаг функции
AzureLinuxOSGuardPreviewс помощью командыaz feature register.az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Через несколько минут отобразится состояние Registered (Зарегистрировано).
Проверьте состояние регистрации с помощью
az feature showкоманды.az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"Когда состояние показывает зарегистрировано, обновите регистрацию
Microsoft.ContainerServiceпоставщика ресурса с помощью командыaz provider register.az provider register --namespace "Microsoft.ContainerService"
Добавьте пул узлов Azure Linux с защитой ОС Guard
Добавьте Azure Linux с пулом узлов OS Guard в существующий az aks nodepool add кластер с помощью команды и укажите --os-sku AzureLinuxOSGuard. Включение FIPS, Secure Boot и vtpm также необходимо для использования Azure Linux с OS Guard. В следующем примере создается пул узлов с именем osgNodepool , который добавляет три узла в кластер testAzureLinuxOSGuardCluster в группе ресурсов testAzureLinuxOSGuardResourceGroup . Переменные среды объявляются, и случайный суффикс добавляется к имени группы ресурсов и именам кластеров для обеспечения их уникальности.
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export NODEPOOL_NAME="np$RANDOM_SUFFIX"
az aks nodepool add \
--resource-group $RESOURCE_GROUP \
--cluster-name $CLUSTER_NAME \
--name $NODEPOOL_NAME \
--node-count 3 \
--os-sku AzureLinuxOSGuard
--node-osdisk-type Managed
--enable-fips-image
--enable-secure-boot
--enable-vtpm
Пример выходных данных:
{
"agentPoolType": "VirtualMachineScaleSets",
"count": 3,
"name": "osgNodepool",
"osType": "Linux",
"provisioningState": "Succeeded",
"resourceGroup": "testAzureLinuxOSGuardResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools"
}
Замечание
Имя пула узлов должно начинаться с буквы в нижнем регистре и может содержать только буквенно-цифровые символы. Для пулов узлов Linux длина должна быть от одного до 12 символов.
Проверка состояния пула узлов
Проверьте состояние пулов узлов с помощью az aks nodepool list команды и укажите имя группы ресурсов и кластера.
az aks nodepool list --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME
Пример выходных данных:
[
{
"agentPoolType": "VirtualMachineScaleSets",
"availabilityZones": null,
"count": 3,
"enableAutoScaling": false,
"enableEncryptionAtHost": false,
"enableFips": false,
"enableNodePublicIp": false,
"id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
"maxPods": 110,
"mode": "User",
"name": "npxxxxxx",
"nodeImageVersion": "AzureLinuxContainerHost-2025.10.03",
"orchestratorVersion": "1.32.6",
"osDiskSizeGb": 128,
"osDiskType": "Managed",
"osSku": "AzureLinux",
"osType": "Linux",
"powerState": {
"code": "Running"
},
"provisioningState": "Succeeded",
"resourceGroup": "myAKSResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools",
"vmSize": "Standard_DS2_v2"
},
{
"agentPoolType": "VirtualMachineScaleSets",
"availabilityZones": null,
"count": 3,
"enableAutoScaling": false,
"enableEncryptionAtHost": false,
"enableFips": false,
"enableNodePublicIp": false,
"id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
"maxPods": 110,
"mode": "User",
"name": "npxxxxxx",
"nodeImageVersion": "AzureLinuxOSGuard-2025.10.03",
"orchestratorVersion": "1.32.6",
"osDiskSizeGb": 128,
"osDiskType": "Managed",
"osSku": "AzureLinuxOSGuard",
"osType": "Linux",
"powerState": {
"code": "Running"
},
"provisioningState": "Succeeded",
"resourceGroup": "myAKSResourceGroupxxxxx",
"type": "Microsoft.ContainerService/managedClusters/agentPools",
"vmSize": "Standard_DS2_v2"
}
]
Дальнейшие шаги
В этом руководстве вы добавили в существующий кластер пул узлов Azure Linux с функцией OS Guard. В следующем руководстве вы узнаете, как перенести существующие узлы в Azure Linux с OS Guard.