Bereitstellen und Verwalten der Sperrung der Knotenressourcengruppe in Azure Kubernetes Service (AKS)

Gilt für: ✔️ AKS Automatic ✔️ AKS Standard

AKS stellt die Infrastruktur in Ihrem Abonnement bereit, um eine Verbindung mit Ihren Anwendungen herzustellen und diese auszuführen. Änderungen, die direkt an Ressourcen in der Knotenressourcengruppe vorgenommen werden, können sich auf Clustervorgänge auswirken oder zukünftig Probleme verursachen. Beispielsweise sollten die Skalierung, die Speicherung und Netzwerkkonfigurationen über die Kubernetes-API erfolgen und nicht direkt für diese Ressourcen.

Um zu verhindern, dass Änderungen an der Knotenressourcengruppe vorgenommen werden, können Sie eine Ablehnungszuweisung anwenden und Benutzer daran hindern, Ressourcen zu ändern, die im Rahmen des AKS-Clusters erstellt wurden.

AKS Automatic ist die empfohlene, produktionsreife Standardeinstellung für die meisten AKS-Workloads. In AKS Automatic ist die Sperre der Knotenressourcengruppe als Teil des vollständig verwalteten Modells für Knotenressourcengruppen vorkonfiguriert.

In AKS Standard ist die Sperrung der Knotenressourcengruppe optional, und Sie können sie mit Einschränkungsstufen konfigurieren.

Weitere Informationen zu AKS Automatic finden Sie unter Was ist AKS Automatic?

Voraussetzungen

Wenn Sie die Sperrung für AKS Standard mit Azure CLI konfigurieren, benötigen Sie Folgendes:

  • Azure CLI Version 2.44.0 oder höher. Führen Sie az --version aus, um die aktuelle Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.

Einschränkungsstufen

Einschränkungsebene Behavior
ReadOnly Sie können die Ressourcen der Knotenressourcengruppe anzeigen, aber eine Deny-Zuweisung blockiert direkte Aktualisierungen.
Nicht eingeschränkt Direkte Aktualisierungen von Ressourcen der Knotenressourcengruppe sind zulässig.

AKS Automatik

Die Sperrung der Knotenressourcengruppe ist für automatische AKS-Cluster vorkonfiguriert. Sie müssen keinen separaten Aktivierungsbefehl ausführen.

Informationen zum Erstellen eines automatischen AKS-Clusters finden Sie unter Erstellen eines Azure Kubernetes Service (AKS) automatischen Clusters.

AKS Standard: Erstellen eines Clusters mit Sperrmodus für Knotenressourcengruppen

Erstellen Sie mit dem Befehl az aks create einen AKS-Standardcluster mit Sperrung der Knotenressourcengruppe, wobei das Flag --nrg-lockdown-restriction-level auf ReadOnly festgelegt ist. Mit dieser Konfiguration können Sie die Ressourcen anzeigen, aber nicht ändern.

# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>

# Create an AKS Standard cluster with node resource group lockdown
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP_NAME \
    --nrg-lockdown-restriction-level ReadOnly \
    --generate-ssh-keys

AKS Standard: Aktualisieren eines Clusters mit Sperrmodus für Knotenressourcengruppen

Aktualisieren Sie einen vorhandenen AKS Standard-Cluster mit der Sperre der Knotenressourcengruppe mithilfe des Befehls az aks update, wobei das Flag --nrg-lockdown-restriction-level auf ReadOnly gesetzt ist. Mit dieser Konfiguration können Sie die Ressourcen anzeigen, aber nicht ändern.

# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>

# Update an existing AKS Standard cluster with node resource group lockdown
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly

AKS Standard: Sperrmodus für Knotenressourcengruppen entfernen

Heben Sie die Sperre der Knotenressourcengruppe bei einem vorhandenen AKS-Standard-Cluster auf, indem Sie den Befehl az aks update mit dem auf Unrestricted gesetzten Flag --nrg-lockdown-restriction-level verwenden. Mit dieser Konfiguration können Sie die Ressourcen anzeigen und ändern.

# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>

# Remove node resource group lockdown from an existing AKS Standard cluster
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted

Häufig gestellte Fragen (FAQs)

Ist die Sperrung der Knotenressourcengruppe in AKS Automatic standardmäßig aktiviert?

Ja, es ist in AKS Automatic Clusters vorkonfiguriert.

Muss ich Sperrmodusbefehle auf AKS Automatic ausführen?

Nein, Sperrmodusbefehle gelten für die AKS Standard-Konfiguration.

Wann sollte ich ReadOnly auf AKS Standard verwenden?

Verwenden Sie ReadOnly, wenn Sie einen stärkeren Schutz vor direkten Infrastrukturbearbeitungen wünschen und Clusteränderungen über AKS- und Kubernetes-APIs bevorzugen.