Självstudie: Migrera noder till Azure Linux med OS Guard (förhandsversion)

Distribuera och utforska

I den här självstudien, del tre av fem, migrerar du dina befintliga noder till Azure Linux med OS Guard. Du kan migrera dina befintliga noder med någon av följande metoder:

• Ta bort befintliga nodpooler och lägg till nya Azure Linux med OS Guard-nodpooler.
• Migrering av operativsystemets SKU direkt.

Om du inte har några befintliga noder att migrera går du vidare till nästa handledning. I senare självstudier får du lära dig hur du aktiverar telemetri och övervakning i dina kluster och uppgraderar Azure Linux med OS Guard-noder.

Överväganden och begränsningar

Innan du börjar bör du läsa följande överväganden och begränsningar för Azure Linux med OS Guard (förhandsversion):

• Kubernetes version 1.32.0 eller senare krävs för Azure Linux med OS Guard.
• Alla Azure Linux med OS Guard-avbildningar har FIPS (Federal Information Process Standard) och Trusted Launch aktiverat.
• Azure CLI- och ARM-mallar är de enda distributionsmetoder som stöds för Azure Linux med OS Guard på AKS i förhandsversionen. PowerShell och Terraform stöds inte.
• Arm64-avbildningar stöds inte med Azure Linux med OS Guard på AKS i förhandsversionen.
• NodeImage och None är de enda operativsystemuppgraderingskanalerna som stöds för Azure Linux med OS Guard på AKS. Unmanaged och SecurityPatch är inte kompatibla med Azure Linux med OS Guard på grund av den oföränderliga /usr-katalogen.
• Artefaktströmning stöds inte.
• Poddsandboxning stöds inte.
• Konfidentiella virtuella datorer stöds inte.
• Gen 1 virtuella datorer (VM) stöds inte.

Förutsättningar

• I den föregående självstudien skapade och distribuerade du en Azure Linux med OS Guard-kluster. Om du inte har slutfört de här stegen och vill följa med kan du läsa Självstudie 1: Skapa ett kluster med Azure Linux med OS Guard för AKS.
• Du behöver den senaste versionen av Azure CLI. az version Använd kommandot för att hitta versionen. Om du vill uppgradera till den senaste versionen använder du az upgrade kommandot .

Installera Azure CLI-tillägget aks-preview

Viktigt!

AKS-förhandsversionsfunktioner är tillgängliga via självbetjäning och frivillig registrering. Förhandsversioner tillhandahålls "i befintligt skick" och "i mån av tillgång," och de är undantagna från servicenivåavtal och begränsad garanti. AKS-förhandsversioner stöds delvis av kundsupport efter bästa förmåga. Därför är dessa funktioner inte avsedda för produktionsanvändning. Mer information finns i följande supportartiklar:

• supportpolicyer för AKS
• Vanliga frågor och svar om Azure-support

• aks-preview Installera tillägget med kommandot az extension add .

  az extension add --name aks-preview
  

• Uppdatera till den senaste versionen av tillägget med kommandot az extension update .

  az extension update --name aks-preview
  

Registrera funktionsflaggan för Förhandsversion av Azure Linux OS Guard

1. Registrera funktionsflaggan AzureLinuxOSGuardPreview med az feature register-kommandot.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

   Det tar några minuter för statusen att visa Registrerad.

2. Kontrollera registreringsstatusen az feature show med kommandot .

   az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

3. När statusen visar Registrerad uppdaterar du registreringen av resursprovidern med hjälp av Microsoft.ContainerServiceaz provider register kommandot .

   az provider register --namespace "Microsoft.ContainerService"
   

Lägga till Azure Linux med OS Guard-nodpooler och ta bort befintliga nodpooler

1. Lägg till ett nytt Azure Linux med OS Guard med en nodpool genom att använda kommandot az aks nodepool add. Det här kommandot lägger till en ny nodpool i klustret med --mode System flaggan, vilket gör den till en systemnodpool. Systemnodpooler krävs för Azure Linux med OS Guard-kluster.

   # Declare environment variables with a random suffix for uniqueness
   export RANDOM_SUFFIX=$(openssl rand -hex 3)
   export NODE_POOL_NAME="np$RANDOM_SUFFIX"
   az aks nodepool add --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME --name $NODE_POOL_NAME --mode System --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm
   

   Exempel på utdata:

   {
     "id": "/subscriptions/xxxxx/resourceGroups/myResourceGroupxxx/providers/Microsoft.ContainerService/managedClusters/myAKSCluster/nodePools/systempool",
     "name": "systempool",
     "provisioningState": "Succeeded"
   }
   

2. Ta bort dina befintliga noder med kommandot az aks nodepool delete .

   az aks nodepool delete --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME --name $NODE_POOL_NAME 
   

Begränsningar för migrering av operativsystems SKU på befintligt system

Det finns flera inställningar som kan blockera begäran om OS SKU-migrering. Granska följande riktlinjer och begränsningar för att säkerställa en lyckad migrering:

• Os SKU-migreringsfunktionen är inte tillgänglig via PowerShell eller Azure Portal. När du använder os SKU-migreringsfunktionen med Azure Linux med OS Guard (förhandsversion) är den inte tillgänglig via Terraform, PowerShell eller Azure-portalen.
• Migreringsfunktionen för OS SKU har inte stöd för att byta namn på befintliga nodpooler.
• Ubuntu, Azure Linux och Azure Linux med OS Guard är de enda linux OS SKU-migreringsmål som stöds.
• Betrodd start krävs som standard för Azure Linux med OS Guard. Du måste ha betrodd start aktiverat för att migrera till Azure Linux med OS Guard. Detta kan kräva att nya nodpooler skapas.
• FIPS krävs när du aktiverar Azure Linux med OS Guard. Om du för närvarande inte använder en FIPS-avbildning kan du inkludera --enable-fips i kommandot för uppdatering av nodpoolen.
• Gen 1 virtuella datorer (VM) stöds inte.
• En Ubuntu OS SKU med UseGPUDedicatedVHD aktiverad kan inte utföra en OS SKU-migrering.
• Konfidentiella virtuella datorer stöds inte.
• Poddsandboxning stöds inte.
• Windows OS SKU-migrering stöds inte.
• OS SKU-migrering från Mariner till Azure Linux stöds, men återställning till Mariner stöds inte.

Förutsättningar för OS SKU-migrering direkt på plats

• Ett befintligt AKS-kluster med minst en Azure Linux-nodpool.
• Vi rekommenderar att ni säkerställer att era arbetsbelastningar konfigureras och körs framgångsrikt på Azure Linux med OS Guard som containervärd innan ni försöker använda OS SKU-migreringsfunktionen. Detta genom att distribuera ett Azure Linux med OS Guard-kluster i dev/prod och verifiera att tjänsten fortsätter att fungera utan problem.
• Se till att migreringsfunktionen fungerar för dig i test/utveckling innan du använder processen i ett produktionskluster.
• Se till att dina poddar har tillräckligt med podduppstörningsbudget så att AKS kan flytta poddar mellan virtuella datorer under uppgraderingen.
• Du behöver Azure CLI version 2.61.0 eller senare. az version Använd kommandot för att hitta versionen. Om du vill uppgradera till den senaste versionen använder du az upgrade kommandot .

Utföra en in-place migrering av operativsystem-SKU

Du kan migrera dina befintliga Ubuntu- eller Azure Linux-nodpooler till Azure Linux med OS Guard genom att ändra OS SKU för nodpoolen, vilket uppdaterar klustret genom standardprocessen för uppgradering av nodavbildningar. Den här nya funktionen kräver inte att nya nodpooler skapas. i stället återskapas automatiskt dina befintliga nodpooler.

Azure CLI

Migrera OS SKU för din Azure Linux Container Host-nodpool till Azure Linux med OS Guard

• Migrera OS SKU:n för nodpoolen till Azure Linux med OS Guard med kommandot az aks nodepool update . Det här kommandot utlöser en återimering av nodpoolen och uppdaterar OS SKU:n för nodpoolen från Azure Linux till Azure Linux med OS Guard. Os SKU-ändringen utlöser en omedelbar uppgraderingsåtgärd, vilket tar flera minuter att slutföra.

  az aks nodepool update --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME --name $NODE_POOL_NAME --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm
  

  Exempel på utdata:

  {
    "id": "/subscriptions/xxxxx/resourceGroups/myResourceGroupxxx/providers/Microsoft.ContainerService/managedClusters/myAKSCluster/nodePools/nodepool1",
    "name": "nodepool1",
    "osSku": "AzureLinuxOSGuard",
    "provisioningState": "Succeeded"
  }
  

Anmärkning

Om du får problem under OS SKU-migreringen kan du återställa till din tidigare OS SKU.

ARM-template

Exempel på ARM-mallar

0base.json

 {
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-07-01",
      "name": "akstestcluster",
      "location": "[resourceGroup().location]",
      "tags": {
        "displayname": "Demo of AKS Nodepool Migration"
      },
      "identity": {
        "type": "SystemAssigned"
      },
      "properties": {
        "enableRBAC": true,
        "dnsPrefix": "testcluster",
        "agentPoolProfiles": [
          {
            "name": "testnp",
            "count": 3,
            "vmSize": "Standard_D4a_v4",
            "osType": "Linux",
            "osSku": "AzureLinux",
            "mode": "System"
          }
        ]
      }
    }
  ]
}

1mcupdate.json

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-07-01",
      "name": "akstestcluster",
      "location": "[resourceGroup().location]",
      "tags": {
        "displayname": "Demo of AKS Nodepool Migration"
      },
      "identity": {
        "type": "SystemAssigned"
      },
      "properties": {
        "enableRBAC": true,
        "dnsPrefix": "testcluster",
        "agentPoolProfiles": [
          {
            "name": "testnp",
            "osType": "Linux",
            "osSku": "AzureLinuxOSGuard",
            "mode": "System"
          }
        ]
      }
    }
  ]
} 

2apupdate.json

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "apiVersion": "2023-07-01",
      "type": "Microsoft.ContainerService/managedClusters/agentPools",
      "name": "akstestcluster/testnp",
      "location": "[resourceGroup().location]",
      "properties": {
        "osType": "Linux",
        "osSku": "AzureLinux",
        "mode": "System"
      }
    }
  ]
}

Distribuera ett testkluster

1. Skapa en resursgrupp för testklustret med kommandot az group create .

   az group create --name testRG --location eastus
   

2. Distribuera ett Azure Linux OS SKU-baslinjekluster med tre noder med hjälp av az deployment group create kommandot och 0base.json exempel på ARM-mallen.

   az deployment group create --resource-group testRG --template-file 0base.json
   

3. Migrera OS SKU:n för systemnodpoolen till Azure Linux med OS Guard med kommandot az deployment group create .

   az deployment group create --resource-group testRG --template-file 1mcupdate.json
   

4. Migrera os-SKU:n för systemnodpoolen tillbaka till Azure Linux med hjälp av az deployment group create kommandot .

   az deployment group create --resource-group testRG --template-file 2apupdate.json
   

Verifiera OS SKU-migreringen

När migreringen är klar i dina testkluster bör du kontrollera följande för att säkerställa en lyckad migrering:

• Kör kommandot om migreringsmålet är Azure Linux med OS Guard kubectl get nodes -o wide . Utdata ska visa Microsoft Azure Linux 3.0 som operativsystemets avbildning och .azl3 i slutet av din kärnversion.
• kubectl get pods -o wide -A Kör kommandot för att kontrollera att alla dina poddar och daemonuppsättningar körs i den nya nodpoolen.
• kubectl get nodes --show-labels Kör kommandot för att kontrollera att alla nodetiketter i den uppgraderade nodpoolen är det du förväntar dig.

Tips/Råd

Vi rekommenderar att du övervakar tjänstens hälsotillstånd i ett par veckor innan du migrerar dina produktionskluster.

Gå tillbaka till din tidigare OS-produktversion

Om du får problem under OS SKU-migreringen kan du återställa till din tidigare OS SKU. För att göra detta måste du ändra os SKU-fältet i mallen och skicka distributionen igen, vilket utlöser en annan uppgraderingsåtgärd och återskapar nodpoolen till dess tidigare OS SKU.

Anmärkning

OS SKU-migrering stöder inte återställning till OS SKU Mariner.

• Återställ till din tidigare OS SKU med kommandot az aks nodepool update . Det här kommandot uppdaterar OS SKU för din nodpool från Azure Linux med OS Guard tillbaka till Azure Linux.

Nästa steg

I den här självstudien migrerade du befintliga noder till Azure Linux med OS Guard. I nästa självstudie får du lära dig hur du aktiverar telemetri för att övervaka dina kluster.

Aktivera telemetri och övervakning