在 Azure Kubernetes Service 中使用節點資源群組鎖定部署完全受控資源群組 (預覽版)
AKS 會將基礎結構部署至您的訂用帳戶,以連線並執行應用程式。 直接變更節點資源群組中的資源可能會影響叢集作業,或造成未來的問題。 例如,調整、記憶體或網路設定應該透過 Kubernetes API 進行,而不是直接在這些資源上進行。
若要防止對節點資源群組進行變更,您可以套用拒絕指派,並封鎖使用者修改在 AKS 叢集中建立的資源。
重要
AKS 預覽功能可透過自助服務,以加入方式使用。 預覽會以「現狀」和「可供使用時」提供,其其不受服務等級協定和有限瑕疵擔保所保護。 客戶支援部門會盡最大努力,部分支援 AKS 預覽。 因此,這些功能不適合實際執行用途。 如需詳細資訊,請參閱下列支援文章:
開始之前
開始之前,您需要安裝並設定下列資源:
- Azure CLI 2.44.0 版或更新版本。 執行
az --version以尋找目前的版本。 如果您需要安裝或升級,請參閱安裝 Azure CLI。 - 延伸
aks-preview模組0.5.126版或更新版本。 - 在您的
NRGLockdownPreview訂用帳戶上註冊的功能旗標。
安裝 aks-preview CLI 擴充功能
使用 az extension add 或 az extension update 命令來安裝或更新aks-preview延伸模組。
# Install the aks-preview extension
az extension add --name aks-preview
# Update to the latest version of the aks-preview extension
az extension update --name aks-preview
註冊 NRGLockdownPreview 功能旗標
使用
az feature register命令註冊NRGLockdownPreview功能旗標。az feature register --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"狀態需要幾分鐘的時間才會顯示「已註冊」。
使用
az feature show命令確認註冊狀態。az feature show --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"當狀態反映「已註冊」時,使用
az provider register(部分機器翻譯) 命令,重新整理 Microsoft.ContainerService 資源提供者的註冊。az provider register --namespace Microsoft.ContainerService
使用資源群組鎖定建立 AKS 叢集
使用 將 旗標設定為 ReadOnly的 命令,az aks create建立具有節點資源群組鎖定的--nrg-lockdown-restriction-level叢集。 此設定可讓您檢視資源,但無法加以修改。
az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly
使用資源群組鎖定更新現有叢集
使用 將 旗標設定為 ReadOnly的命令--nrg-lockdown-restriction-level,az aks update使用節點資源群組鎖定來更新現有的叢集。 此設定可讓您檢視資源,但無法加以修改。
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly
從叢集移除節點資源群組鎖定
使用 將 旗標設定為 Unrestricted的 az aks update 命令--nrg-restriction-level,從現有的叢集中移除節點資源群組鎖定。 此組態可讓您檢視和修改資源。
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted
下一步
若要深入瞭解 AKS 中的節點資源群組,請參閱 節點資源群組。