إنشاء مجموعة التوفير التلقائي للعقدة (NAP) في شبكة ظاهرية مخصصة في Azure Kubernetes Service (AKS)

توضح لك هذه المقالة كيفية إنشاء شبكة ظاهرية (VNet) وشبكة فرعية، وإنشاء هوية مدارة بأذونات للوصول إلى الشبكة الظاهرية، وإنشاء مجموعة Azure Kubernetes Service (AKS) في الشبكة الظاهرية المخصصة مع تمكين التوفير التلقائي للعقدة (NAP).

المتطلبات الأساسية

• اشتراك Azure. إذا لم يكن لديك حساب، يمكنك إنشاء حساب مجاني .
• إصدار 2.76.0 Azure CLI أو إصدار أحدث. للعثور على الإصدار، قم بتشغيل az --version . لمزيد من المعلومات عن تركيب Azure CLI أو ترقيتها، راجع تركيب Azure CLI.
• اقرأ مقالة نظرة عامة على التوفير التلقائي للعقدة (NAP) في AKS، والتي توضح بالتفصيل كيفية عمل NAP.
• اقرأ نظرة عامة على تكوينات الشبكات للتوفير التلقائي للعقدة (NAP) في Azure Kubernetes Service (AKS).

القيود

• عند إنشاء مجموعة NAP في شبكة ظاهرية مخصصة (VNet)، يجب عليك استخدام موازن تحميل قياسي. موازن التحميل الأساسي غير مدعوم.
• لمراجعة القيود الأخرى والميزات غير المدعومة ل NAP، راجع مقالة نظرة عامة على التوفير التلقائي للعقدة (NAP) في AKS .

إنشاء شبكة ظاهرية وشبكة فرعية

هام

عند استخدام شبكة ظاهرية مخصصة مع NAP، ضع المعلومات التالية في الاعتبار:

• يجب إنشاء شبكة فرعية لخادم واجهة برمجة التطبيقات وتفويضها إلى Microsoft.ContainerService/managedClusters، والتي تمنح أذونات خدمة AKS لإدخال جراب خادم واجهة برمجة التطبيقات وموازن التحميل الداخلي في تلك الشبكة الفرعية. لا يمكنك استخدام الشبكة الفرعية لأي أحمال عمل أخرى، ولكن يمكنك استخدامها لمجموعات AKS متعددة موجودة في نفس الشبكة الظاهرية. الحد الأدنى لحجم الشبكة الفرعية لخادم واجهة برمجة التطبيقات المدعوم هو /28.
• يسمح بكافة نسبة استخدام الشبكة داخل الشبكة الظاهرية بشكل افتراضي. ومع ذلك، إذا أضفت قواعد مجموعة أمان الشبكة (NSG) لتقييد نسبة استخدام الشبكة بين الشبكات الفرعية المختلفة، فستحتاج إلى التأكد من تكوين الأذونات المناسبة. لمزيد من المعلومات، راجع وثائق مجموعة أمان الشبكة.

1. قم بإنشاء شبكة ظاهرية باستخدام الأمر az network vnet create .

   az network vnet create \
       --name $VNET_NAME \
       --resource-group $RG_NAME \
       --location $LOCATION \
       --address-prefixes 172.19.0.0/16
   

2. قم بإنشاء شبكة فرعية باستخدام az network vnet subnet create الأمر وقم بتفويضها إلى Microsoft.ContainerService/managedClusters.

   az network vnet subnet create \
       --resource-group $RG_NAME \
       --vnet-name $VNET_NAME \
       --name $SUBNET_NAME \
       --delegations Microsoft.ContainerService/managedClusters \
       --address-prefixes 172.19.0.0/28
   

إنشاء هوية مدارة ومنحها أذونات للوصول إلى الشبكة الظاهرية

1. إنشاء هوية مدارة az identity create باستخدام الأمر .

   az identity create \
       --resource-group $RG_NAME \
       --name $IDENTITY_NAME \
       --location $LOCATION
   

2. احصل على المعرف الأساسي للهوية المدارة وقم بتعيينه إلى متغير بيئة باستخدام الأمر [az identity show][az-identity-show].

   IDENTITY_PRINCIPAL_ID=$(az identity show --resource-group $RG_NAME --name $IDENTITY_NAME --query principalId -o tsv)
   

3. قم بتعيين دور مساهم الشبكة للهوية المدارة باستخدام الأمر az role assignment create .

   az role assignment create \
       --scope "/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RG_NAME/providers/Microsoft.Network/virtualNetworks/$VNET_NAME" \
       --role "Network Contributor" \
       --assignee $IDENTITY_PRINCIPAL_ID
   

إنشاء نظام مجموعة AKS باستخدام التوفير التلقائي للعقدة (NAP) في شبكة ظاهرية مخصصة

1. قم بإنشاء مجموعة AKS مع تمكين NAP في الشبكة الظاهرية المخصصة باستخدام الأمر az aks create . تأكد من تعيين العلامة --node-provisioning-mode لتمكين Auto NAP.

   يقوم الأمر التالي أيضا بتعيين إلى --network-plugin ، إلى ، وإلى --network-dataplanecilium.overlay--network-plugin-modeazure لمزيد من المعلومات حول تكوينات الشبكات المدعومة مع NAP، راجع تكوين الشبكات للتوفير التلقائي للعقدة على AKS.

   az aks create \
       --name $CLUSTER_NAME \
       --resource-group $RG_NAME \
       --location $LOCATION \
       --assign-identity "/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RG_NAME/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$IDENTITY_NAME" \
       --network-dataplane cilium \
       --network-plugin azure \
       --network-plugin-mode overlay \
       --vnet-subnet-id "/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RG_NAME/providers/Microsoft.Network/virtualNetworks/$CUSTOM_VNET_NAME/subnets/$SUBNET_NAME" \
       --node-provisioning-mode Auto
   

   بعد بضع دقائق، الأمر إكمال وإرجاع معلومات منسقة JSON حول الكتلة.

2. قم بتكوين kubectl للاتصال بنظام مجموعة Kubernetes باستخدام أمر az aks get-credentials. هذا الأمر يقوم بتحميل بيانات الاعتماد وضبط Kubernetes CLI لاستخدامها.

   az aks get-credentials \
       --resource-group $RG_NAME \
       --name $CLUSTER_NAME
   

3. تحقق من الاتصال بالمجموعة باستخدام kubectl get الأمر . يعمل هذا الأمر على استرجاع قائمة نظام المجموعة العنقودية.

   kubectl get nodes
   

الخطوات التالية

لمزيد من المعلومات حول التوفير التلقائي للعقدة في AKS، راجع المقالات التالية:

• تكوين الشبكات للتوفير التلقائي للعقدة على AKS
• تكوين تجمعات العقد للتوفير التلقائي للعقدة على AKS
• تكوين نهج التعطيل للتوفير التلقائي للعقدة على AKS