Esercitazione - Aggiornare i nodi di Azure Linux con protezione del sistema operativo (anteprima) in un cluster del del servizio Azure Kubernetes

Annotazioni

Azure Linux con OS Guard (anteprima) è in fase di sostituzione con Azure Container Linux (ACL).

Azure Container Linux è il sistema operativo Linux a lungo termine, non modificabile e ottimizzato per i contenitori per Servizio Azure Kubernetes (AKS). Offre un sistema operativo host sicuro, minimo e coerente a livello operativo progettato per eseguire carichi di lavoro in contenitori su larga scala.

Per altre informazioni, vedere la panoramica Azure Container Linux (ACL).

Distribuire ed esplorare

Linux di Azure con OS Guard fornisce aggiornamenti tramite immagini dei nodi aggiornate e aggiornamenti automatici dei pacchetti. Nell'ambito del ciclo di vita dell'applicazione e del cluster, è consigliabile mantenere aggiornati e protetti i cluster abilitando gli aggiornamenti per il cluster. È possibile abilitare gli aggiornamenti automatici delle immagini dei nodi per assicurarsi che i cluster usino l'immagine più recente di Azure Linux con OS Guard quando aumenta le prestazioni. È anche possibile aggiornare manualmente l'immagine del nodo in un cluster.

In questa esercitazione, parte cinque di cinque, si apprenderà come:

  • Aggiornare manualmente l'immagine del nodo in un cluster.
  • Aggiornare automaticamente un cluster di Azure Linux con OS Guard.
  • Distribuire Kured in un cluster Linux di Azure con OS Guard.

Annotazioni

Qualsiasi operazione di aggiornamento, eseguita manualmente o automaticamente, aggiorna la versione dell'immagine del nodo se non è già presente nella versione più recente. La versione più recente dipende da una versione completa del servizio Azure Kubernetes ed è possibile determinarla visitando lo strumento di rilevamento delle versioni del servizio Azure Kubernetes.

Prerequisiti

  • Nelle esercitazioni precedenti è stato creato e distribuito un cluster Linux di Azure con OS Guard. Per completare questa esercitazione, è necessario un cluster esistente. Se non hai completato questo passaggio e desideri seguire il processo, vedi Esercitazione 1: Crea un cluster con Linux di Azure con OS Guard per AKS.
  • È necessaria la versione più recente dell'interfaccia della riga di comando di Azure. Usare il az version comando per trovare la versione. Per eseguire l'aggiornamento alla versione più recente, usare il az upgrade comando .

Azure Linux con considerazioni e limitazioni di OS Guard

Prima di iniziare, esaminare le considerazioni e le limitazioni seguenti per Azure Linux con OS Guard (anteprima):

Aggiornare manualmente il cluster

Aggiornare manualmente l'immagine del nodo nel cluster usando il az aks nodepool upgrade comando .

az aks nodepool upgrade --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME --name <node-pool-name>

Aggiornare automaticamente il cluster

Gli aggiornamenti automatici sono funzionalmente uguali agli aggiornamenti manuali. Il canale selezionato determina la tempistica degli aggiornamenti. Quando si apportano modifiche all'aggiornamento automatico, attendere 24 ore per rendere effettive le modifiche.

Impostare il canale di aggiornamento automatico su un cluster esistente usando il comando az aks update con il parametro --auto-upgrade-channel. L'esempio seguente imposta il canale di aggiornamento automatico su stable per un cluster esistente:

az aks update --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --auto-upgrade-channel stable

Output di esempio:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxResourceGroup",
  "location": "WestUS2",
  "name": "testAzureLinuxCluster",
  "properties": {
    "autoUpgradeChannel": "stable",
    "provisioningState": "Succeeded"
  }
}

Per altre informazioni sui canali di aggiornamento, vedere Uso dell'aggiornamento automatico del cluster.

Aggiornare automaticamente l'immagine del sistema operativo del nodo

AKS offre più canali di aggiornamento automatico dedicati ad aggiornamenti tempestivi della sicurezza del sistema operativo a livello di nodo. Questo canale è diverso dagli aggiornamenti della versione Kubernetes a livello di cluster e li sostituisce.

Importante

NodeImage e None sono gli unici canali di aggiornamento del sistema operativo (OS) supportati per Azure Linux con OS Guard in AKS. Unmanaged e SecurityPatch non sono compatibili con Azure Linux con OS Guard a causa della directory /usr non modificabile.

Usare il comando az aks update con il parametro --node-os-upgrade-channel per impostare il canale di aggiornamento del sistema operativo del nodo in un cluster esistente. L'esempio seguente imposta il canale di aggiornamento del sistema operativo del nodo su NodeImage per un cluster esistente:

az aks update --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --node-os-upgrade-channel NodeImage

Output di esempio:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxResourceGroup",
  "location": "WestUS2",
  "name": "testAzureLinuxCluster",
  "properties": {
    "nodeOsUpgradeChannel": "NodeImage",
    "provisioningState": "Succeeded"
  }
}

Per altre informazioni sui canali di aggiornamento dei nodi, vedere Uso dell'aggiornamento automatico del sistema operativo del nodo.

Pulire le risorse

Poiché questa esercitazione è l'ultima parte della serie, potresti voler eliminare il tuo cluster Azure Linux con OS Guard. I nodi Kubernetes vengono eseguiti in Azure macchine virtuali (VM) e continuano a incorrere in addebiti anche se non si usa il cluster.

Eliminare il gruppo di risorse Azure e tutte le risorse correlate usando il comando az group delete.

az group delete --name $RESOURCE_GROUP --yes --no-wait

Passaggi successivi

In questa esercitazione è stato aggiornato il cluster Host contenitore Linux di Azure.

Per altre informazioni su Linux di Azure con OS Guard, vedere la panoramica di Azure Linux con OS Guard.

  • Last updated on