Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ AKS Automatic ✔️ AKS Standard
AKS развертывает инфраструктуру в подписке для подключения и запуска приложений. Изменения, внесенные непосредственно в ресурсы в группе ресурсов узла , могут повлиять на операции кластера или вызвать будущие проблемы. Например, следует выполнять масштабирование, хранилище или конфигурации сети через API Kubernetes, а не непосредственно на этих ресурсах.
Чтобы предотвратить внесение изменений в группу ресурсов узла, можно применить назначение запрета и запретить пользователям изменять ресурсы, созданные в составе кластера AKS.
AKS Automatic — это рекомендуемый вариант по умолчанию, готовый к промышленному использованию, для большинства рабочих нагрузок AKS. В AKS Automatic блокировка группы ресурсов узла предварительно настроена как часть полностью управляемой модели группы ресурсов узлов.
В AKS Standard блокировка группы ресурсов узла является необязательной, и ее можно настроить с уровнями ограничений.
Дополнительные сведения об akS Automatic см. в разделе "Что такое AKS Automatic?"
Перед тем как начать
Если вы настраиваете блокировку в AKS Standard с помощью Azure CLI, вам потребуется:
- Azure CLI версии 2.44.0 или более поздней. Выполните команду
az --version, чтобы найти текущую версию. Если вам нужно установить или обновить, см. статью "Установка Azure CLI".
Уровни ограничений
| Уровень ограничений | Behavior |
|---|---|
| ReadOnly | Вы можете просматривать ресурсы группы ресурсов узла, но запрет на назначение блокирует прямые обновления. |
| Неограниченный | Разрешены прямые обновления ресурсов группы ресурсов узла. |
AKS Automatic
Блокировка группы ресурсов узла предварительно настроена в автоматических кластерах AKS. Вам не нужно выполнять отдельную команду включения.
Сведения о создании автоматического кластера AKS см. в статье "Создание Azure Kubernetes Service (AKS) автоматического кластера".
AKS Standard: создание кластера с блокировкой группы ресурсов узла
Создайте кластер AKS Standard с блокировкой группы ресурсов узла с помощью команды az aks create, установив для флага --nrg-lockdown-restriction-level значение ReadOnly. Эта конфигурация позволяет просматривать ресурсы, но не изменять их.
# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>
# Create an AKS Standard cluster with node resource group lockdown
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP_NAME \
--nrg-lockdown-restriction-level ReadOnly \
--generate-ssh-keys
AKS Standard: обновление кластера с блокировкой группы ресурсов узла
Обновите существующий кластер AKS Standard с блокировкой группы ресурсов узлов с помощью команды az aks update, установив для флага --nrg-lockdown-restriction-level значение ReadOnly. Эта конфигурация позволяет просматривать ресурсы, но не изменять их.
# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>
# Update an existing AKS Standard cluster with node resource group lockdown
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly
AKS Standard: удаление блокировки группы ресурсов узла
Удалите режим блокировки группы ресурсов узла из существующего кластера AKS Standard с помощью команды az aks update с флагом --nrg-lockdown-restriction-level, установленным в значение Unrestricted. Эта конфигурация позволяет просматривать и изменять ресурсы.
# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>
# Remove node resource group lockdown from an existing AKS Standard cluster
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted
Часто задаваемые вопросы
Включена ли блокировка группы ресурсов узла по умолчанию в AKS Automatic?
Да, он предварительно настроен в автоматических кластерах AKS.
Нужно ли выполнять команды блокировки в AKS Automatic?
Нет, команды блокировки предназначены для конфигурации AKS Standard.
Когда следует использовать ReadOnly в AKS Standard?
Используйте ReadOnly, если требуется более надежная защита от прямых изменений инфраструктуры и предпочитайте изменения кластера через API AKS и Kubernetes.
Связанный контент
- Дополнительные сведения об akS Automatic см. в статье "Что такое akS Automatic?
- Создайте автоматический кластер AKS в создании автоматического кластера Azure Kubernetes Service (AKS)
- Дополнительные сведения о группе ресурсов узла в AKS см. в группе ресурсов Node.