Een volledig beheerde resourcegroep implementeren met behulp van knooppuntresourcegroepvergrendeling (preview) in Azure Kubernetes Service (AKS)

AKS implementeert infrastructuur in uw abonnement om verbinding te maken met en uw toepassingen uit te voeren. Wijzigingen die rechtstreeks aan resources in de knooppuntresourcegroep zijn aangebracht, kunnen van invloed zijn op clusterbewerkingen of toekomstige problemen veroorzaken. Schaalaanpassing, opslag of netwerkconfiguraties moeten bijvoorbeeld worden uitgevoerd via de Kubernetes-API en niet rechtstreeks op deze resources.

Als u wilt voorkomen dat wijzigingen worden aangebracht in de resourcegroep van het knooppunt, kunt u een weigeringstoewijzing toepassen en voorkomen dat gebruikers resources wijzigen die zijn gemaakt als onderdeel van het AKS-cluster.

Belangrijk

AKS preview-functies zijn beschikbaar op selfservice, opt-in basis. Previews worden geleverd 'zoals is' en 'als beschikbaar' en ze worden uitgesloten van de serviceovereenkomsten en beperkte garantie. AKS-previews worden gedeeltelijk gedekt door klantondersteuning op basis van best effort. Daarom zijn deze functies niet bedoeld voor productiegebruik. Zie de volgende ondersteuningsartikelen voor meer informatie:

• AKS-ondersteuningsbeleid
• Veelgestelde vragen over ondersteuning voor Azure

Voordat u begint

Voordat u begint, hebt u de volgende resources geïnstalleerd en geconfigureerd:

• De Azure CLI versie 2.44.0 of hoger. Voer deze opdracht uit az --version om de huidige versie te vinden. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.
• De aks-preview extensieversie 0.5.126 of hoger.
• De NRGLockdownPreview functievlag die is geregistreerd voor uw abonnement.

aks-preview De CLI-extensie installeren

Installeer of werk de aks-preview extensie bij met behulp van de az extension add opdracht of de az extension update opdracht.

# Install the aks-preview extension
az extension add --name aks-preview

# Update to the latest version of the aks-preview extension
az extension update --name aks-preview

NRGLockdownPreview De functievlag registreren

1. Registreer de NRGLockdownPreview functievlag met behulp van de az feature register opdracht.

   az feature register --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"
   

   Het duurt enkele minuten voordat de status Geregistreerd wordt weergegeven.

2. Controleer de registratiestatus met behulp van de az feature show opdracht.

   az feature show --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"
   

3. Wanneer de status Geregistreerd weergeeft, vernieuwt u de registratie van de Microsoft.ContainerService-resourceprovider met behulp van de az provider register opdracht.

   az provider register --namespace Microsoft.ContainerService
   

Een AKS-cluster maken met vergrendeling van knooppuntresourcegroepen

Maak een cluster met vergrendeling van de knooppuntresourcegroep met behulp van de az aks create opdracht waarop de --nrg-lockdown-restriction-level vlag is ReadOnlyingesteld. Met deze configuratie kunt u de resources weergeven, maar deze niet wijzigen.

az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP_NAME \
    --nrg-lockdown-restriction-level ReadOnly \
    --generate-ssh-keys

Een bestaand cluster bijwerken met vergrendeling van knooppuntresourcegroepen

Werk een bestaand cluster bij met vergrendeling van de knooppuntresourcegroep met behulp van de az aks update opdracht waarop de --nrg-lockdown-restriction-level vlag is ReadOnlyingesteld. Met deze configuratie kunt u de resources weergeven, maar deze niet wijzigen.

az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly

Vergrendeling van knooppuntresourcegroepen verwijderen uit een cluster

Verwijder de vergrendeling van knooppuntresourcegroepen uit een bestaand cluster met behulp van de az aks update opdracht waarop de --nrg-restriction-level vlag is Unrestrictedingesteld. Met deze configuratie kunt u de resources weergeven en wijzigen.

az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted

Volgende stappen

Zie De knooppuntresourcegroep in AKS voor meer informatie over de knooppuntresourcegroep.