Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : ✔️ AKS Automatic ✔️ AKS Standard
AKS déploie une infrastructure dans votre abonnement pour la connexion et l’exécution de vos applications. Les changements effectués directement sur les ressources du groupe de ressources de nœud peuvent affecter les opérations du cluster ou entraîner des problèmes par la suite. Par exemple, les configurations de mise à l’échelle, de stockage ou de réseau doivent être effectuées avec l’API Kubernetes, et pas directement sur ces ressources.
Pour empêcher que des modifications soient apportées au groupe de ressources de nœud, vous pouvez appliquer une affectation de refus et bloquer la modification par des utilisateurs de ressources créées dans le cadre du cluster AKS.
AKS Automatic est l’option par défaut recommandée, prête pour la production, pour la plupart des charges de travail sur AKS. Dans AKS Automatic, le verrouillage du groupe de ressources de nœud est préconfiguré dans le cadre du modèle de groupe de ressources de nœud entièrement managé.
Dans AKS Standard, le verrouillage du groupe de ressources de nœud est facultatif et vous pouvez le configurer avec des niveaux de restriction.
Pour plus d’informations sur AKS Automatic, consultez Présentation d’AKS Automatic ?
Avant de commencer
Si vous configurez le verrouillage sur AKS Standard à l'aide de Azure CLI, vous avez besoin des éléments suivants :
- Azure CLI version 2.44.0 ou ultérieure. Exécutez
az --versionpour rechercher la version actuelle. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI.
Niveaux de restriction
| Niveau de restriction | Comportement |
|---|---|
| ReadOnly | Vous pouvez afficher les ressources du groupe de ressources du nœud, mais une attribution de refus bloque les mises à jour directes. |
| Non restreint | Les mises à jour directes des ressources de groupe de ressources de nœud sont autorisées. |
AKS Automatic
Le verrouillage du groupe de ressources de nœud est préconfiguré sur les clusters automatiques AKS. Vous n’avez pas besoin d’exécuter une commande Enable distincte.
Pour créer un cluster automatique AKS, consultez Créer un cluster automatique Azure Kubernetes Service (AKS).
AKS Standard : créer un cluster avec le verrouillage du groupe de ressources de nœud
Créez un cluster AKS Standard avec verrouillage du groupe de ressources des nœuds à l’aide de la commande az aks create avec l’indicateur --nrg-lockdown-restriction-level défini sur ReadOnly. Cette configuration vous permet de voir les ressources, mais pas de les modifier.
# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>
# Create an AKS Standard cluster with node resource group lockdown
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP_NAME \
--nrg-lockdown-restriction-level ReadOnly \
--generate-ssh-keys
AKS Standard : mettre à jour un cluster avec le verrouillage du groupe de ressources de nœud
Mettez à jour un cluster AKS Standard existant en activant le verrouillage du groupe de ressources de nœuds à l’aide de la commande az aks update avec l’indicateur --nrg-lockdown-restriction-level défini sur ReadOnly. Cette configuration vous permet de voir les ressources, mais pas de les modifier.
# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>
# Update an existing AKS Standard cluster with node resource group lockdown
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly
AKS Standard : supprimer le verrouillage du groupe de ressources de nœud
Supprimez le verrouillage du groupe de ressources des nœuds d’un cluster AKS Standard existant à l’aide de la commande az aks update avec l’indicateur --nrg-lockdown-restriction-level défini sur Unrestricted. Cette configuration vous permet de voir et de modifier les ressources.
# Set environment variables
export RESOURCE_GROUP_NAME=<your-resource-group-name>
export CLUSTER_NAME=<your-cluster-name>
# Remove node resource group lockdown from an existing AKS Standard cluster
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted
Questions fréquentes (FAQ)
Le verrouillage du groupe de ressources de nœud est-il activé par défaut sur AKS Automatic ?
Oui, il est préconfiguré sur les clusters automatiques AKS.
Dois-je exécuter des commandes de verrouillage sur AKS Automatic ?
Non, les commandes de verrouillage sont destinées à la configuration AKS Standard.
Quand dois-je utiliser ReadOnly sur AKS Standard ?
Utilisez ReadOnly lorsque vous souhaitez une protection plus forte contre les modifications directes de l’infrastructure et préférez les modifications de cluster par le biais d’API AKS et Kubernetes.
Contenu connexe
- En savoir plus sur AKS Automatic in What is AKS Automatic ?
- Créer un cluster automatique AKS dans Créer un cluster automatique Azure Kubernetes Service (AKS)
- En savoir plus sur le groupe de ressources de nœud dans AKS dans le groupe de ressources Node.