Esercitazione: Creare un cluster con Azure Linux con OS Guard (anteprima) per Servizio Azure Kubernetes (AKS)

In questa esercitazione, parte 1 di cinque, si apprenderà come:

Nelle esercitazioni successive si apprenderà come aggiungere un pool di nodi di Azure Linux con OS Guard a un cluster esistente ed eseguire la migrazione di nodi esistenti in Linux di Azure con OS Guard.

Prerequisiti

• È necessaria la versione più recente dell'interfaccia della riga di comando di Azure. Usare il az version comando per trovare la versione. Per eseguire l'aggiornamento alla versione più recente, usare il az upgrade comando .
• aks-preview Installare Estensione dell'interfaccia della riga di comando di Azure.
• Registrare il flag di funzionalità AzureLinuxOSGuardPreview.

Azure Linux con considerazioni e limitazioni di OS Guard

Prima di iniziare, esaminare le considerazioni e le limitazioni seguenti per Azure Linux con OS Guard (anteprima):

• È necessaria la versione 1.32.0 o successiva di Kubernetes per Azure Linux con OS Guard.
• Federal Information Process Standard (FIPS) e Avvio attendibile sono abilitati in tutte le immagini di Azure Linux con protezione del sistema operativo.
• interfaccia della riga di comando di Azure e i modelli ARM sono gli unici metodi di distribuzione supportati per Azure Linux con OS Guard su AKS in anteprima. PowerShell e Terraform non sono supportati.
• Le immagini Arm64 non sono supportate con Azure Linux con protezione del sistema operativo nel servizio Azure Kubernetes, disponibile in anteprima.
• NodeImage e None sono gli unici canali di aggiornamento del sistema operativo (OS) supportati per Azure Linux con OS Guard in AKS. Unmanaged e SecurityPatch non sono compatibili con Azure Linux con OS Guard a causa della directory /usr non modificabile.
• Artifact Streaming non è supportato.
• Il sandboxing dei pod non è supportato.
• Le macchine virtuali riservate non sono supportate.
• Le macchine virtuali di prima generazione non sono supportate.

Installare l'estensione aks-preview interfaccia della riga di comando di Azure

Installare l'estensioneaks-preview usando il comando az extension add.

az extension add --name aks-preview

Eseguire l'aggiornamento alla versione più recente dell'estensione usando il comando az extension update.

az extension update --name aks-preview

Registrare il flag di funzionalità AzureLinuxOSGuardPreview

1. Registrare il flag della funzionalità AzureLinuxOSGuardPreview usando il comando az feature register.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

   Sono necessari alcuni minuti per visualizzare lo stato Registered.

2. Verificare lo stato della registrazione usando il comando az feature show.

   az feature show --namespace "Microsoft.ContainerService" --name "AzureLinuxOSGuardPreview"
   

3. Quando lo stato riflette Registrato, aggiornare la registrazione del Microsoft.ContainerService fornitore di risorse usando il comando az provider register.

   az provider register --namespace "Microsoft.ContainerService"
   

Impostare le variabili di ambiente

Impostare le variabili di ambiente seguenti per creare nomi di risorse univoci per ogni distribuzione:

export RESOURCE_GROUP="<your-resource-group-name>"
export REGION="<your-region>"
export CLUSTER_NAME="<your-cluster-name>"

Creare un gruppo di risorse

Quando si crea un gruppo di risorse in Azure, è necessario specificare una posizione. Questa posizione è la posizione di archiviazione dei metadati del gruppo di risorse e la posizione in cui le risorse vengono eseguite in Azure se non si specifica un'altra area durante la creazione di una risorsa.

Creare un gruppo di risorse usando il comando az group create.

az group create --name $RESOURCE_GROUP --location $REGION

Output di esempio:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx",
  "location": "EastUS2",
  "managedBy": null,
  "name": "testAzureLinuxOSGuardResourceGroupxxxxx",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "tags": null,
  "type": "Microsoft.Resources/resourceGroups"
}

Creare un cluster Linux di Azure con OS Guard (anteprima)

Creare un cluster AKS usando il comando az aks create con il parametro --os-sku AzureLinuxOSGuard per effettuare il provisioning di un cluster Azure Linux con OS Guard. L'abilitazione di FIPS, avvio protetto e vtpm è necessaria per usare Azure Linux con OS Guard.

az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --os-sku AzureLinuxOSGuard --node-osdisk-type Managed --enable-fips-image --enable-secure-boot --enable-vtpm

Output di esempio:

{
  "id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxOSGuardResourceGroupxxxxx/providers/Microsoft.ContainerService/managedClusters/testAzureLinuxOSGuardClusterxxxxx",
  "location": "WestUS2",
  "name": "testAzureLinuxOSGuardClusterxxxxx",
  "properties": {
    "provisioningState": "Succeeded"
  },
  "type": "Microsoft.ContainerService/managedClusters"
}

Il comando viene completato dopo pochi minuti e vengono restituite informazioni in formato JSON sul cluster.

Connettersi al cluster usando kubectl

1. Configurare kubectl per connettersi al cluster Kubernetes usando il comando az aks get-credentials.

   az aks get-credentials --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME
   

2. Verificare la connessione al cluster usando il kubectl get nodes comando per restituire un elenco dei nodi del cluster.

   kubectl get nodes
   

   Output di esempio:

   NAME                           STATUS   ROLES   AGE     VERSION
   aks-nodepool1-00000000-0       Ready    agent   10m     v1.20.7
   aks-nodepool1-00000000-1       Ready    agent   10m     v1.20.7
   

Passo successivo

In questa esercitazione è stato creato e distribuito un cluster Linux di Azure con OS Guard. Nell'esercitazione successiva si apprenderà come aggiungere un pool di nodi di Azure Linux con OS Guard a un cluster esistente.