Развертывание полностью управляемой группы ресурсов с помощью блокировки группы ресурсов узла (предварительная версия) в Служба Azure Kubernetes (AKS)

AKS развертывает инфраструктуру в подписке для подключения и запуска приложений. Изменения, внесенные непосредственно в ресурсы в группе ресурсов узла, могут повлиять на операции кластера или вызвать будущие проблемы. Например, следует выполнять масштабирование, хранилище или конфигурации сети через API Kubernetes, а не непосредственно на этих ресурсах.

Чтобы предотвратить внесение изменений в группу ресурсов узла, можно применить назначение запрета и запретить пользователям изменять ресурсы, созданные в составе кластера AKS.

Внимание

Предварительные версии функций AKS доступны на уровне самообслуживания. Предварительные версии предоставляются "как есть" и "при наличии". На них не распространяются соглашения об уровне обслуживания и ограниченная гарантия. Предварительные версии AKS предоставляются с частичной клиентской поддержкой по мере возможности. Следовательно, эти функции не предназначены для использования в рабочей среде. Дополнительные сведения доступны в следующих статьях поддержки.

• Политики поддержки AKS
• Часто задаваемые вопросы о поддержке Azure

Подготовка к работе

Прежде чем приступить к работе, вам потребуются следующие ресурсы, установленные и настроенные:

• Azure CLI версии 2.44.0 или более поздней. Выполните команду az --version , чтобы найти текущую версию. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0.
• Расширение aks-preview версии 0.5.126 или более поздней.
• Флаг функции, зарегистрированный NRGLockdownPreview в подписке.

aks-preview Установка расширения CLI

Установите или обновите aks-preview расширение с помощью az extension add команды.az extension update

# Install the aks-preview extension
az extension add --name aks-preview

# Update to the latest version of the aks-preview extension
az extension update --name aks-preview

Регистрация флага компонента NRGLockdownPreview

1. NRGLockdownPreview Зарегистрируйте флаг компонента с помощью az feature register команды.

   az feature register --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"
   

   Через несколько минут отобразится состояние Registered (Зарегистрировано).

2. Проверьте состояние регистрации с помощью az feature show команды.

   az feature show --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"
   

3. Когда состояние отражает зарегистрировано, обновите регистрацию поставщика ресурсов Microsoft.ContainerService с помощью az provider register команды.

   az provider register --namespace Microsoft.ContainerService
   

Создание кластера AKS с блокировкой группы ресурсов узла

Создайте кластер с блокировкой группы ресурсов узла с помощью az aks create команды с установленным ReadOnlyфлагом--nrg-lockdown-restriction-level. Эта конфигурация позволяет просматривать ресурсы, но не изменять их.

az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly

Обновление существующего кластера с блокировкой группы ресурсов узла

Обновите существующий кластер с блокировкой группы ресурсов узла с помощью az aks update команды с установленным ReadOnlyфлагом--nrg-lockdown-restriction-level. Эта конфигурация позволяет просматривать ресурсы, но не изменять их.

az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly

Удаление блокировки группы ресурсов узла из кластера

Удалите блокировку группы ресурсов узла из существующего кластера с помощью az aks update команды с установленным Unrestrictedфлагом--nrg-restriction-level. Эта конфигурация позволяет просматривать и изменять ресурсы.

az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted

Следующие шаги

Дополнительные сведения о группе ресурсов узла в AKS см. в разделе "Группа ресурсов узла".