AKS 可将基础结构部署到订阅中,以用于连接和运行应用程序。 对节点资源组中的资源直接进行更改可能会影响群集操作或导致未来出现问题。 例如,缩放、存储或网络配置应通过 Kubernetes API 进行,而不是直接在这些资源上进行。
若要防止对节点资源组进行更改,可以应用拒绝分配,并阻止用户修改在 AKS 群集中创建的资源。
准备阶段
在开始之前,需要安装并配置以下资源:
- Azure CLI 版本 2.44.0 或更高版本。 运行
az --version即可找到当前版本。 如果需要进行安装或升级,请参阅安装 Azure CLI。
使用节点资源组锁定创建 AKS 群集
使用 az aks create 命令创建带有节点资源组锁定的群集,并将 --nrg-lockdown-restriction-level 标志设置为 ReadOnly。 此配置允许查看资源,但不能对其进行修改。
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP_NAME \
--nrg-lockdown-restriction-level ReadOnly \
--generate-ssh-keys
使用节点资源组锁定更新现有群集
使用 az aks update 命令更新带有节点资源组锁定的现有群集,并将 --nrg-lockdown-restriction-level 标志设置为 ReadOnly。 此配置允许查看资源,但不能对其进行修改。
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly
从群集中移除节点资源组锁定
使用 az aks update 命令从现有群集中删除节点资源组锁定,并将 --nrg-restriction-level 标志设置为 Unrestricted。 此配置允许查看和修改资源。
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted
后续步骤
若要详细了解 AKS 中的节点资源组,请参阅节点资源组。