Självstudie: Lägg till en Azure Linux-nodepool med OS Guard (förhandsversion) i ett befintligt AKS-kluster (Azure Kubernetes Service)

Distribuera och utforska

I Azure Kubernetes Service (AKS) grupperas noder med samma konfigurationer i nodpooler. Varje nodpool innehåller de virtuella datorer som kör dina program. I den föregående självstudien skapade du ett Azure Linux med OS Guard-kluster med en enda nodpool. För att uppfylla de varierande beräknings-, lagrings- eller säkerhetskraven för dina program kan du lägga till användarnodpooler.

I den här självstudien, del två av fem, lär du dig att:

• Lägg till en Azure Linux med OS Guard-nodpool i ett befintligt kluster.
• Kontrollera statusen för dina nodpooler.

I senare självstudier får du lära dig hur du migrerar noder till Azure Linux med OS Guard och aktiverar telemetri för att övervaka dina kluster.

Överväganden och begränsningar

Innan du börjar bör du läsa följande överväganden och begränsningar för Azure Linux med OS Guard (förhandsversion):

• Kubernetes version 1.32.0 eller senare krävs för Azure Linux med OS Guard.
• Alla Azure Linux med OS Guard-avbildningar har FIPS (Federal Information Process Standard) och Trusted Launch aktiverat.
• Azure CLI- och ARM-mallar är de enda distributionsmetoder som stöds för Azure Linux med OS Guard på AKS i förhandsversionen. PowerShell och Terraform stöds inte.
• Arm64-avbildningar stöds inte med Azure Linux med OS Guard på AKS i förhandsversionen.
• NodeImage och None är de enda operativsystemuppgraderingskanalerna som stöds för Azure Linux med OS Guard på AKS. Unmanaged och SecurityPatch är inte kompatibla med Azure Linux med OS Guard på grund av den oföränderliga /usr-katalogen.
• Streaming av artefakter stöds inte.
• Poddsandboxning stöds inte.
• Konfidentiella virtuella datorer stöds inte.
• Gen 1 virtuella datorer (VM) stöds inte.

Förutsättningar

• I den föregående självstudien skapade och distribuerade du en Azure Linux med OS Guard-kluster. Om du inte har slutfört de här stegen och vill följa med kan du läsa Självstudie 1: Skapa ett kluster med Azure Linux med OS Guard för AKS.
• Du behöver den senaste versionen av Azure CLI. az version Använd kommandot för att hitta versionen. Om du vill uppgradera till den senaste versionen använder du az upgrade kommandot .

Installera Azure CLI-tillägget aks-preview

Viktigt!

AKS-förhandsversionsfunktioner är tillgängliga via självbetjäning och frivillig registrering. Förhandsversioner tillhandahålls "i befintligt skick" och "i mån av tillgång," och de är undantagna från servicenivåavtal och begränsad garanti. AKS-förhandsversioner stöds delvis av kundsupport efter bästa förmåga. Därför är dessa funktioner inte avsedda för produktionsanvändning. Mer information finns i följande supportartiklar:

• supportpolicyer för AKS
• Vanliga frågor och svar om Azure-support

• aks-preview Installera tillägget med kommandot az extension add .

  az extension add --name aks-preview
  

• Uppdatera till den senaste versionen av tillägget med kommandot az extension update .

  az extension update --name aks-preview
  

Registrera funktionsflaggan för Förhandsversion av Azure Linux OS Guard

1. Registrera funktionsflaggan AzureLinuxOSGuardPreview med az feature register-kommandot.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

   Det tar några minuter för statusen att visa Registrerad.

2. Kontrollera registreringsstatusen az feature show med kommandot .

   az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

3. När statusen visar Registrerad uppdaterar du registreringen av resursprovidern med hjälp av Microsoft.ContainerServiceaz provider register kommandot .

   az provider register --namespace "Microsoft.ContainerService"
   

Lägga till en Azure Linux med OS Guard-nodpool

Lägg till en Azure Linux-nodpool med OS Guard till ditt befintliga kluster genom att använda kommandot az aks nodepool add och specificera --os-sku AzureLinuxOSGuard. Du måste också aktivera FIPS, säker start och vtpm för att använda Azure Linux med OS Guard. I följande exempel skapas en nodpool med namnet osgNodepool som lägger till tre noder i testazureLinuxOSGuardCluster-klustret i resursgruppen testAzureLinuxOSGuardResourceGroup . Miljövariabler deklareras och ett slumpmässigt suffix läggs till i resursgruppen och klusternamnen för att säkerställa unikhet.

export RANDOM_SUFFIX=$(openssl rand -hex 3)
export NODEPOOL_NAME="np$RANDOM_SUFFIX"

az aks nodepool add \
    --resource-group $RESOURCE_GROUP \
    --cluster-name $CLUSTER_NAME \
    --name $NODEPOOL_NAME \
    --node-count 3 \
    --os-sku AzureLinuxOSGuard
    --node-osdisk-type Managed 
    --enable-fips-image 
    --enable-secure-boot 
    --enable-vtpm

Exempel på utdata:

{
  "agentPoolType": "VirtualMachineScaleSets",
  "count": 3,
  "name": "osgNodepool",
  "osType": "Linux",
  "provisioningState": "Succeeded",
  "resourceGroup": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "type": "Microsoft.ContainerService/managedClusters/agentPools"
}

Anmärkning

Namnet på en nodpool måste börja med en liten bokstav och kan bara innehålla bokstäver och siffror. För Linux-nodpooler måste längden vara mellan ett och tolv tecken.

Kontrollera nodpoolens status

Kontrollera statusen för dina nodpooler med kommandot az aks nodepool list och ange resursgruppen och klusternamnet.

az aks nodepool list --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME

Exempel på utdata:

[
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxContainerHost-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinux",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  },
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxOSGuard-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinuxOSGuard",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  }
]

Nästa steg

I den här självstudien har du lagt till en Azure Linux med OS Guard-nodpool i ditt befintliga kluster. I nästa självstudie får du lära dig hur du migrerar befintliga noder till Azure Linux med OS Guard.

Migrera till Azure Linux med OS Guard