Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: ✔️ AKS Automatic ✔️ AKS Standard
AKS implementa la infraestructura en su suscripción para conectarse a las aplicaciones y ejecutarlas. Los cambios realizados directamente en los recursos del grupo de recursos del nodo pueden afectar a las operaciones del clúster o causar problemas en el futuro. Por ejemplo, el escalado, el almacenamiento o las configuraciones de la red deben realizarse a través de la API de Kubernetes, y no directamente sobre estos recursos.
Para evitar que se realicen cambios en el grupo de recursos del nodo, puede aplicar una asignación de denegación y impedir que los usuarios modifiquen los recursos creados como parte del clúster de AKS.
AKS Automatic es la opción predeterminada recomendada para producción para la mayoría de las cargas de trabajo de AKS. En AKS Automatic, el bloqueo del grupo de recursos de nodo está preconfigurado como parte del modelo de grupo de recursos de nodo totalmente administrado.
En AKS Standard, el bloqueo del grupo de recursos de nodo es opcional y puede configurarlo con niveles de restricción.
Para obtener más información sobre AKS Automatic, consulte ¿Qué es AKS Automatic?
Antes de empezar
Si va a configurar el bloqueo en AKS Standard mediante CLI de Azure, necesita lo siguiente:
- CLI de Azure versión 2.44.0 o posterior. Ejecute
az --versionpara buscar la versión actual. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.
Niveles de restricción
| Nivel de restricción | Comportamiento |
|---|---|
| ReadOnly | Puede ver los recursos del grupo de recursos del nodo, pero una asignación de denegación bloquea las actualizaciones directas. |
| Sin restricciones | Se permiten actualizaciones directas de los recursos del grupo de recursos del nodo. |
AKS Automatic
El bloqueo del grupo de recursos de nodo está preconfigurado en clústeres automáticos de AKS. No es necesario ejecutar un comando enable independiente.
Para crear un clúster automático de AKS, consulte Creación de un clúster automático de Azure Kubernetes Service (AKS).
AKS Standard: creación de un clúster con bloqueo de grupo de recursos de nodo
Cree un clúster AKS Standard con bloqueo del grupo de recursos de nodo mediante el comando az aks create con la marca --nrg-lockdown-restriction-level establecida en ReadOnly. Esta configuración le permite ver los recursos, pero no modificarlos.
# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>
# Create an AKS Standard cluster with node resource group lockdown
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP_NAME \
--nrg-lockdown-restriction-level ReadOnly \
--generate-ssh-keys
AKS Standard: actualización de un clúster con bloqueo de grupo de recursos de nodo
Actualice un clúster AKS Standard existente con el bloqueo del grupo de recursos de los nodos mediante el comando az aks update con la opción --nrg-lockdown-restriction-level establecida en ReadOnly. Esta configuración le permite ver los recursos, pero no modificarlos.
# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>
# Update an existing AKS Standard cluster with node resource group lockdown
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly
AKS Estándar: eliminación del bloqueo del grupo de recursos de nodo
Quite el bloqueo del grupo de recursos del nodo de un clúster AKS Standard existente usando el comando az aks update con el indicador --nrg-lockdown-restriction-level establecido en Unrestricted. Esta configuración le permite ver y modificar los recursos.
# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>
# Remove node resource group lockdown from an existing AKS Standard cluster
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted
Preguntas más frecuentes (FAQ)
¿Está habilitado el bloqueo del grupo de recursos de nodo de forma predeterminada en AKS Automatic?
Sí, está preconfigurado en clústeres automáticos de AKS.
¿Es necesario ejecutar comandos de bloqueo en AKS Automatic?
No, los comandos de bloqueo son para la configuración de AKS Standard.
¿Cuándo debo usar ReadOnly en AKS Standard?
Use ReadOnly cuando desee una protección más fuerte contra ediciones directas de la infraestructura y prefiera los cambios de clúster a través de las API de AKS y Kubernetes.
Contenido relacionado
- Más información sobre AKS Automatic en ¿Qué es AKS Automático?
- Creación de un clúster automático de AKS en Creación de un clúster automático de Azure Kubernetes Service (AKS)
- Más información sobre el grupo de recursos del nodo en AKS en Grupo de recursos del nodo.