Implementar e gerir o bloqueio do grupo de recursos do nó no Azure Kubernetes Service (AKS)

Aplica-se a: ✔️ AKS Automatic ✔️ AKS Standard

O AKS implanta infraestrutura em sua assinatura para se conectar e executar seus aplicativos. As alterações feitas diretamente nos recursos do grupo de recursos do nó podem afetar as operações do cluster ou causar problemas futuros. Por exemplo, o dimensionamento, o armazenamento ou as configurações de rede devem ser feitos por meio da API do Kubernetes e não diretamente nesses recursos.

Para evitar que alterações sejam feitas no grupo de recursos do nó, você pode aplicar uma atribuição de negação e impedir que os usuários modifiquem os recursos criados como parte do cluster AKS.

O AKS Automatic é a predefinição recomendada, pronta para produção, para a maioria das cargas de trabalho do AKS. No AKS Automatic, o bloqueio do grupo de recursos dos nós vem pré-configurado como parte do modelo de grupo de recursos dos nós totalmente gerido.

No AKS Standard, o bloqueio dos grupos de recursos dos nós é opcional e pode configurá-lo com níveis de restrição.

Para mais informações sobre o AKS Automatic, veja O que é o AKS Automatic?

Antes de começar

Se está a configurar o bloqueio no AKS Standard usando CLI do Azure, precisa de:

Níveis de restrição

Nível de restrição Comportamento
Somente leitura Pode ver os recursos do grupo de recursos do nó, mas uma atribuição de negação bloqueia atualizações diretas.
Sem restrições São permitidas atualizações diretas nos recursos do grupo de recursos do nó.

AKS Automático

O bloqueio dos grupos de recursos de nós está pré-configurado em clusters automáticos do AKS. Não precisas de executar um comando de ativação separado.

Para criar um cluster AKS Automatic, veja Criar um cluster automático do Azure Kubernetes Service (AKS).

AKS Standard: criar um cluster com bloqueio do grupo de recursos dos nós

Crie um cluster AKS Standard com bloqueio do grupo de recursos dos nós utilizando o comando az aks create com a opção --nrg-lockdown-restriction-level definida como ReadOnly. Essa configuração permite visualizar os recursos, mas não modificá-los.

# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>

# Create an AKS Standard cluster with node resource group lockdown
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP_NAME \
    --nrg-lockdown-restriction-level ReadOnly \
    --generate-ssh-keys

AKS Standard: atualizar um cluster com bloqueio do grupo de recursos dos nós

Atualize um cluster AKS Standard existente com o bloqueio do grupo de recursos dos nós, utilizando o comando az aks update com o parâmetro --nrg-lockdown-restriction-level definido como ReadOnly. Essa configuração permite visualizar os recursos, mas não modificá-los.

# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>

# Update an existing AKS Standard cluster with node resource group lockdown
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly

AKS Standard: remover o bloqueio do grupo de recursos dos nós

Remova o bloqueio do grupo de recursos de nós de um cluster AKS Standard existente usando o az aks update comando com a --nrg-lockdown-restriction-level flag definida para Unrestricted. Esta configuração permite-lhe visualizar e modificar os recursos.

# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>

# Remove node resource group lockdown from an existing AKS Standard cluster
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted

Perguntas mais frequentes (FAQ)

O bloqueio de grupos de recursos de nós está ativado por defeito no AKS Automatic?

Sim, está pré-configurado em clusters automáticos do AKS.

Preciso de executar comandos de bloqueio no AKS Automatic?

Não, os comandos de bloqueio são para configuração AKS Standard.

Quando devo usar Apenas Leitura no AKS Standard?

Use ReadOnly quando quiser uma proteção mais forte contra edições diretas de infraestrutura e preferir alterações de cluster através das APIs AKS e Kubernetes.