Implementación y administración del bloqueo del grupo de recursos de nodo en Azure Kubernetes Service (AKS)

Se aplica a: ✔️ AKS Automatic ✔️ AKS Standard

AKS implementa la infraestructura en su suscripción para conectarse a las aplicaciones y ejecutarlas. Los cambios realizados directamente en los recursos del grupo de recursos del nodo pueden afectar a las operaciones del clúster o causar problemas en el futuro. Por ejemplo, el escalado, el almacenamiento o las configuraciones de la red deben realizarse a través de la API de Kubernetes, y no directamente sobre estos recursos.

Para evitar que se realicen cambios en el grupo de recursos del nodo, puede aplicar una asignación de denegación y impedir que los usuarios modifiquen los recursos creados como parte del clúster de AKS.

AKS Automatic es la opción predeterminada recomendada para producción para la mayoría de las cargas de trabajo de AKS. En AKS Automatic, el bloqueo del grupo de recursos de nodo está preconfigurado como parte del modelo de grupo de recursos de nodo totalmente administrado.

En AKS Standard, el bloqueo del grupo de recursos de nodo es opcional y puede configurarlo con niveles de restricción.

Para obtener más información sobre AKS Automatic, consulte ¿Qué es AKS Automatic?

Antes de empezar

Si va a configurar el bloqueo en AKS Standard mediante CLI de Azure, necesita lo siguiente:

  • CLI de Azure versión 2.44.0 o posterior. Ejecute az --version para buscar la versión actual. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.

Niveles de restricción

Nivel de restricción Comportamiento
ReadOnly Puede ver los recursos del grupo de recursos del nodo, pero una asignación de denegación bloquea las actualizaciones directas.
Sin restricciones Se permiten actualizaciones directas de los recursos del grupo de recursos del nodo.

AKS Automatic

El bloqueo del grupo de recursos de nodo está preconfigurado en clústeres automáticos de AKS. No es necesario ejecutar un comando enable independiente.

Para crear un clúster automático de AKS, consulte Creación de un clúster automático de Azure Kubernetes Service (AKS).

AKS Standard: creación de un clúster con bloqueo de grupo de recursos de nodo

Cree un clúster AKS Standard con bloqueo del grupo de recursos de nodo mediante el comando az aks create con la marca --nrg-lockdown-restriction-level establecida en ReadOnly. Esta configuración le permite ver los recursos, pero no modificarlos.

# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>

# Create an AKS Standard cluster with node resource group lockdown
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP_NAME \
    --nrg-lockdown-restriction-level ReadOnly \
    --generate-ssh-keys

AKS Standard: actualización de un clúster con bloqueo de grupo de recursos de nodo

Actualice un clúster AKS Standard existente con el bloqueo del grupo de recursos de los nodos mediante el comando az aks update con la opción --nrg-lockdown-restriction-level establecida en ReadOnly. Esta configuración le permite ver los recursos, pero no modificarlos.

# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>

# Update an existing AKS Standard cluster with node resource group lockdown
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly

AKS Estándar: eliminación del bloqueo del grupo de recursos de nodo

Quite el bloqueo del grupo de recursos del nodo de un clúster AKS Standard existente usando el comando az aks update con el indicador --nrg-lockdown-restriction-level establecido en Unrestricted. Esta configuración le permite ver y modificar los recursos.

# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>

# Remove node resource group lockdown from an existing AKS Standard cluster
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted

Preguntas más frecuentes (FAQ)

¿Está habilitado el bloqueo del grupo de recursos de nodo de forma predeterminada en AKS Automatic?

Sí, está preconfigurado en clústeres automáticos de AKS.

¿Es necesario ejecutar comandos de bloqueo en AKS Automatic?

No, los comandos de bloqueo son para la configuración de AKS Standard.

¿Cuándo debo usar ReadOnly en AKS Standard?

Use ReadOnly cuando desee una protección más fuerte contra ediciones directas de la infraestructura y prefiera los cambios de clúster a través de las API de AKS y Kubernetes.