Esercitazione: Aggiungere un pool di nodi di Azure Linux con protezione del sistema operativo (anteprima) a un cluster del servizio Kubernetes di Azure esistente

Nel servizio Azure Kubernetes i nodi con le stesse configurazioni vengono raggruppati in pool di nodi. Ogni pool di nodi contiene le macchine virtuali (VM) che eseguono le applicazioni. Nell'esercitazione precedente è stato creato un cluster Linux di Azure con OS Guard con un singolo pool di nodi. Per soddisfare i diversi requisiti di calcolo, archiviazione o sicurezza delle applicazioni, è possibile aggiungere pool di nodi utente.

In questa esercitazione, parte 2 di cinque, si apprenderà come:

I comandi di questo tutorial utilizzano le variabili di ambiente impostate in Tutorial 1: Creare un cluster con Azure Linux con OS Guard per AKS.

Nelle esercitazioni successive si apprenderà come eseguire la migrazione dei nodi ad Azure Linux con OS Guard e abilitare i dati di telemetria per monitorare i cluster.

Prerequisiti

• Nell'esercitazione precedente è stato creato e distribuito un cluster Linux di Azure con OS Guard. Se non hai completato questi passaggi e desideri seguire la procedura, consulta Esercitazione 1: Creare un cluster con Azure Linux con OS Guard per AKS.
• È necessaria la versione più recente dell'interfaccia della riga di comando di Azure. Usare il az version comando per trovare la versione. Per eseguire l'aggiornamento alla versione più recente, usare il az upgrade comando .

Azure Linux con considerazioni e limitazioni di OS Guard

Prima di iniziare, esaminare le considerazioni e le limitazioni seguenti per Azure Linux con OS Guard (anteprima):

• È necessaria la versione 1.32.0 o successiva di Kubernetes per Azure Linux con OS Guard.
• Federal Information Process Standard (FIPS) e Avvio attendibile sono abilitati in tutte le immagini di Azure Linux con protezione del sistema operativo.
• interfaccia della riga di comando di Azure e i modelli ARM sono gli unici metodi di distribuzione supportati per Azure Linux con OS Guard su AKS in anteprima. PowerShell e Terraform non sono supportati.
• Le immagini Arm64 non sono supportate con Azure Linux con protezione del sistema operativo nel servizio Azure Kubernetes, disponibile in anteprima.
• NodeImage e None sono gli unici canali di aggiornamento del sistema operativo (OS) supportati per Azure Linux con OS Guard in AKS. Unmanaged e SecurityPatch non sono compatibili con Azure Linux con OS Guard a causa della directory /usr non modificabile.
• Artifact Streaming non è supportato.
• Il sandboxing dei pod non è supportato.
• Le macchine virtuali riservate non sono supportate.
• Le macchine virtuali di prima generazione non sono supportate.

Aggiungere un pool di nodi linux di Azure con OS Guard

Aggiungere un pool di nodi linux di Azure con OS Guard nel cluster esistente usando il az aks nodepool add comando e specificare --os-sku AzureLinuxOSGuard. L'abilitazione di FIPS, avvio protetto e vTPM è necessaria anche per usare Azure Linux con OS Guard. L'esempio seguente crea un pool di nodi denominato osgNodePool che aggiunge tre nodi al cluster:

az aks nodepool add \
    --resource-group $RESOURCE_GROUP \
    --cluster-name $CLUSTER_NAME \
    --name osgNodePool \
    --node-count 3 \
    --os-sku AzureLinuxOSGuard
    --node-osdisk-type Managed 
    --enable-fips-image 
    --enable-secure-boot 
    --enable-vtpm

Output di esempio:

{
  "agentPoolType": "VirtualMachineScaleSets",
  "count": 3,
  "name": "osgNodePool",
  "osType": "Linux",
  "provisioningState": "Succeeded",
  "resourceGroup": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "type": "Microsoft.ContainerService/managedClusters/agentPools"
}

Controllare lo stato del pool di nodi

Controllare lo stato dei pool di nodi usando il az aks nodepool list comando .

az aks nodepool list --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME

Output di esempio:

[
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxContainerHost-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinux",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  },
  {
    "agentPoolType": "VirtualMachineScaleSets",
    "availabilityZones": null,
    "count": 3,
    "enableAutoScaling": false,
    "enableEncryptionAtHost": false,
    "enableFips": false,
    "enableNodePublicIp": false,
    "id": "/subscriptions/REDACTED/resourcegroups/myAKSResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/myAKSClusterxxxxx/agentPools/npxxxxxx",
    "maxPods": 110,
    "mode": "User",
    "name": "npxxxxxx",
    "nodeImageVersion": "AzureLinuxOSGuard-2025.10.03",
    "orchestratorVersion": "1.32.6",
    "osDiskSizeGb": 128,
    "osDiskType": "Managed",
    "osSku": "AzureLinuxOSGuard",
    "osType": "Linux",
    "powerState": {
      "code": "Running"
    },
    "provisioningState": "Succeeded",
    "resourceGroup": "myAKSResourceGroupxxxxx",
    "type": "Microsoft.ContainerService/managedClusters/agentPools",
    "vmSize": "Standard_DS2_v2"
  }
]

Passo successivo

In questa esercitazione è stato aggiunto un pool di nodi linux di Azure con OS Guard al cluster esistente. Nell'esercitazione successiva si apprenderà come eseguire la migrazione di nodi esistenti in Azure Linux con OS Guard.