Руководство по созданию кластера с помощью Azure Linux с OS Guard (предварительная версия) для службы Azure Kubernetes (AKS)

Развертывание и изучение

В этом руководстве, которое является первой частью из пяти, вы узнаете, как:

• Установите интерфейс командной строки Kubernetes. kubectl
• aks-preview Установите расширение Azure CLI.
• AzureLinuxOSGuardPreview Зарегистрируйте флаг компонента.
• Создайте группу ресурсов Azure.
• Создайте и разверните Azure Linux с кластером OS Guard.
• Настройте kubectl для подключения к вашему кластеру Azure Linux с OS Guard.

В последующих руководствах вы узнаете, как добавить пул узлов OS Guard в существующий кластер и перенести существующие узлы в Azure Linux с OS Guard.

Соображения и ограничения

Прежде чем начать, ознакомьтесь со следующими рекомендациями и ограничениями для Azure Linux с OS Guard (предварительная версия):

• Для работы с Azure Linux и OS Guard требуется версия Kubernetes 1.32.0 или выше.
• Все образы Azure Linux с OS Guard имеют Федеральный стандарт обработки информации (FIPS) и Trusted Launch включены.
• Azure CLI и шаблоны ARM являются единственными поддерживаемыми методами развертывания для Azure Linux с OS Guard в AKS в предварительной версии. PowerShell и Terraform не поддерживаются.
• Образы Arm64 не поддерживаются в Azure Linux с OS Guard на AKS в режиме предварительной версии.
• NodeImage и None являются единственными поддерживаемыми каналами обновления ОС для Azure Linux с OS Guard в AKS. Unmanaged и SecurityPatch несовместимы с Azure Linux с OS Guard из-за неизменяемого каталога /usr.
• Потоковая передача артефактов не поддерживается.
• Песочница Pod не поддерживается.
• Конфиденциальные виртуальные машины (CVM) не поддерживаются.
• Виртуальные машины 1-го поколения не поддерживаются.

Предпосылки

• Вам нужна последняя версия Azure CLI. Используйте команду az version, чтобы найти версию. Чтобы обновить до последней версии, используйте az upgrade команду.
• Установить aks-preview расширение Azure CLI.
• AzureLinuxOSGuardPreview Зарегистрируйте флаг компонента.

Установите расширение Azure CLI aks-preview

Это важно

Предварительные версии функций AKS доступны на условиях самообслуживания и добровольного выбора. Предварительные версии предоставляются "как есть" и "при наличии". На них не распространяются соглашения об уровне обслуживания и ограниченная гарантия. Предварительные версии AKS сопровождаются частичной поддержкой клиентов на основе принципа лучших усилий. Как таковые, эти функции не предназначены для использования в производстве. Для получения дополнительной информации ознакомьтесь со следующими статьями поддержки:

• Политики поддержки AKS
• Часто задаваемые вопросы о поддержке Azure

• aks-preview Установите расширение с помощью az extension add команды.

  az extension add --name aks-preview
  

• Обновите до последней версии расширения с помощью az extension update команды.

  az extension update --name aks-preview
  

Зарегистрируйте флаг функции предварительной версии Azure Linux OS Guard

1. Зарегистрируйте флаг функции AzureLinuxOSGuardPreview с помощью команды az feature register.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

   Через несколько минут отобразится состояние Registered (Зарегистрировано).

2. Проверьте состояние регистрации с помощью az feature show команды.

   az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

3. Когда состояние показывает зарегистрировано, обновите регистрацию Microsoft.ContainerService поставщика ресурса с помощью команды az provider register.

   az provider register --namespace "Microsoft.ContainerService"
   

Создайте группу ресурсов

Группа ресурсов Azure — это логическая группа, в которой развертываются и управляются ресурсы Azure. При создании группы ресурсов необходимо указать расположение. Это местоположение:

• Расположение хранилища метаданных группы ресурсов.
• Где ваши ресурсы размещаются в Azure, если при создании ресурса вы не указываете другой регион.

Создайте группу ресурсов с помощью команды az group create. Перед выполнением команды переменные среды объявляются для обеспечения уникальных имен ресурсов для каждого развертывания.

export REGION="EastUS2"
az group create --name $RESOURCE_GROUP_NAME --location $REGION

Пример выходных данных:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx",
  "location": "EastUS2",
  "managedBy": null,
  "name": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "tags": null,
  "type": "Microsoft.Resources/resourceGroups"
}

Создание azure Linux с кластером OS Guard (предварительная версия)

Создайте кластер AKS при помощи команды az aks create и параметра --os-sku AzureLinuxOSGuard для развертывания кластера OS Guard на платформе Azure Linux. Для использования Azure Linux с OS Guard требуется включение FIPS, безопасной загрузки и vtpm. В следующем примере создается Azure Linux с кластером OS Guard:

az aks create --name $MY_AZ_CLUSTER_NAME --resource-group $MY_RESOURCE_GROUP_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm

Пример выходных данных:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/testAzureLinuxOSGuardClusterxxxxx",
  "location": "WestUS2",
  "name": "testAzureLinuxOSGuardClusterxxxxx",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "type": "Microsoft.ContainerService/managedClusters"
}

Через несколько минут команда завершается и возвращает информацию о кластере в формате JSON.

Подключение к кластеру с помощью kubectl

Настройте kubectl для подключения к вашему кластеру Kubernetes с помощью команды az aks get-credentials. В следующем примере мы получаем учетные данные для кластера узла контейнеров Azure Linux, используя группу ресурсов и имя кластера, созданные ранее.

az aks get-credentials --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME

Проверьте подключение к кластеру с помощью kubectl get nodes команды, чтобы вернуть список узлов кластера.

kubectl get nodes

Пример выходных данных:

NAME                           STATUS   ROLES   AGE     VERSION
aks-nodepool1-00000000-0       Ready    agent   10m     v1.20.7
aks-nodepool1-00000000-1       Ready    agent   10m     v1.20.7

Дальнейшие шаги

В этом руководстве вы создали и развернули Azure Linux с кластером OS Guard. В следующем руководстве описано, как добавить в существующий кластер пул узлов Azure Linux с OS Guard.

Добавление Azure Linux с пулом узлов OS Guard