Развертывание блокировки группы ресурсов узла и управление ими в Azure Kubernetes Service (AKS)

Область применения: ✔️ AKS Automatic ✔️ AKS Standard

AKS развертывает инфраструктуру в подписке для подключения и запуска приложений. Изменения, внесенные непосредственно в ресурсы в группе ресурсов узла , могут повлиять на операции кластера или вызвать будущие проблемы. Например, следует выполнять масштабирование, хранилище или конфигурации сети через API Kubernetes, а не непосредственно на этих ресурсах.

Чтобы предотвратить внесение изменений в группу ресурсов узла, можно применить назначение запрета и запретить пользователям изменять ресурсы, созданные в составе кластера AKS.

AKS Automatic — это рекомендуемый вариант по умолчанию, готовый к промышленному использованию, для большинства рабочих нагрузок AKS. В AKS Automatic блокировка группы ресурсов узла предварительно настроена как часть полностью управляемой модели группы ресурсов узлов.

В AKS Standard блокировка группы ресурсов узла является необязательной, и ее можно настроить с уровнями ограничений.

Дополнительные сведения об akS Automatic см. в разделе "Что такое AKS Automatic?"

Перед тем как начать

Если вы настраиваете блокировку в AKS Standard с помощью Azure CLI, вам потребуется:

  • Azure CLI версии 2.44.0 или более поздней. Выполните команду az --version , чтобы найти текущую версию. Если вам нужно установить или обновить, см. статью "Установка Azure CLI".

Уровни ограничений

Уровень ограничений Behavior
ReadOnly Вы можете просматривать ресурсы группы ресурсов узла, но запрет на назначение блокирует прямые обновления.
Неограниченный Разрешены прямые обновления ресурсов группы ресурсов узла.

AKS Automatic

Блокировка группы ресурсов узла предварительно настроена в автоматических кластерах AKS. Вам не нужно выполнять отдельную команду включения.

Сведения о создании автоматического кластера AKS см. в статье "Создание Azure Kubernetes Service (AKS) автоматического кластера".

AKS Standard: создание кластера с блокировкой группы ресурсов узла

Создайте кластер AKS Standard с блокировкой группы ресурсов узла с помощью команды az aks create, установив для флага --nrg-lockdown-restriction-level значение ReadOnly. Эта конфигурация позволяет просматривать ресурсы, но не изменять их.

# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>

# Create an AKS Standard cluster with node resource group lockdown
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP_NAME \
    --nrg-lockdown-restriction-level ReadOnly \
    --generate-ssh-keys

AKS Standard: обновление кластера с блокировкой группы ресурсов узла

Обновите существующий кластер AKS Standard с блокировкой группы ресурсов узлов с помощью команды az aks update, установив для флага --nrg-lockdown-restriction-level значение ReadOnly. Эта конфигурация позволяет просматривать ресурсы, но не изменять их.

# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>

# Update an existing AKS Standard cluster with node resource group lockdown
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly

AKS Standard: удаление блокировки группы ресурсов узла

Удалите режим блокировки группы ресурсов узла из существующего кластера AKS Standard с помощью команды az aks update с флагом --nrg-lockdown-restriction-level, установленным в значение Unrestricted. Эта конфигурация позволяет просматривать и изменять ресурсы.

# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>

# Remove node resource group lockdown from an existing AKS Standard cluster
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted

Часто задаваемые вопросы

Включена ли блокировка группы ресурсов узла по умолчанию в AKS Automatic?

Да, он предварительно настроен в автоматических кластерах AKS.

Нужно ли выполнять команды блокировки в AKS Automatic?

Нет, команды блокировки предназначены для конфигурации AKS Standard.

Когда следует использовать ReadOnly в AKS Standard?

Используйте ReadOnly, если требуется более надежная защита от прямых изменений инфраструктуры и предпочитайте изменения кластера через API AKS и Kubernetes.