在 Azure Kubernetes Service (AKS) 中使用節點資源群組鎖定 (預覽) 來部署完全受控的資源群組
AKS 會將基礎結構部署至您的訂用帳戶,以連線並執行應用程式。 直接變更節點資源群組中的資源,可能會影響叢集作業,或在日後造成問題。 例如,調整、儲存體或網路設定應該透過 Kubernetes API 進行,而不是直接在這些資源上進行。
若要防止對節點資源群組進行變更,您可以套用否定性指派,並阻止使用者修改在 AKS 叢集中建立的資源。
重要
AKS 預覽功能可透過自助服務,以加入方式使用。 預覽會以「現狀」和「可供使用時」提供,其其不受服務等級協定和有限瑕疵擔保所保護。 客戶支援部門會盡最大努力,部分支援 AKS 預覽。 因此,這些功能不適合實際執行用途。 如需詳細資訊,請參閱下列支援文章:
開始之前
開始之前,您需要安裝並設定下列資源:
- Azure CLI 2.44.0 版或更新版本。 若要尋找最新版本,請執行
az --version。 如果您需要安裝或升級,請參閱安裝 Azure CLI。 aks-preview延伸模組 0.5.126 版或更新版本。NRGLockdownPreview功能旗標已在您的訂用帳戶上註冊。
安裝 aks-preview CLI 擴充功能
使用 az extension add 或 az extension update 命令,安裝或更新 aks-preview 延伸模組。
# Install the aks-preview extension
az extension add --name aks-preview
# Update to the latest version of the aks-preview extension
az extension update --name aks-preview
註冊 NRGLockdownPreview 功能旗標
使用
az feature register命令註冊NRGLockdownPreview功能旗標。az feature register --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"狀態需要幾分鐘的時間才會顯示「已註冊」。
使用
az feature show命令確認註冊狀態。az feature show --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"當狀態顯示為「已註冊」時,請使用
az provider register命令,重新整理 Microsoft.ContainerService 資源提供者的註冊。az provider register --namespace Microsoft.ContainerService
使用資源群組鎖定建立 AKS 叢集
使用 az aks create 命令建立具有節點資源群組鎖定的叢集,並將 --nrg-lockdown-restriction-level 旗標設定為 ReadOnly。 此設定可讓您檢視資源,但無法加以修改。
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP_NAME \
--nrg-lockdown-restriction-level ReadOnly \
--generate-ssh-keys
使用資源群組鎖定更新現有叢集
使用 az aks update 命令更新具有節點資源群組鎖定的現有叢集,並將 --nrg-lockdown-restriction-level 旗標設定為 ReadOnly。 此設定可讓您檢視資源,但無法加以修改。
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly
從叢集移除節點資源群組鎖定
使用 az aks update 命令從現有叢集中移除節點資源群組鎖定,並將 --nrg-restriction-level 旗標設定為 Unrestricted。 此設定可讓您檢視及修改資源。
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted
下一步
若要深入了解 AKS 中的節點資源群組,請參閱節點資源群組。
