Konfigurujte rozšíření Dapr pro váš projekt Azure Kubernetes Service (AKS) a Kubernetes s podporou Arc.

Po dokončení požadavků pro instalaci rozšíření Dapr můžete nakonfigurovat rozšíření Dapr tak, aby fungovalo nejlépe pro vás i váš projekt, a to pomocí různých možností konfigurace, jako jsou:

  • Rotace certifikátů s vypršující platností
  • Zřizování Dapr s povolenou vysokou dostupností
  • Omezení výběru uzlů používajících rozšíření Dapr
  • Nastavení automatických aktualizací definice vlastních prostředků (CRD)
  • Konfigurace oboru názvů vydaných verzí Dapr

Rozšíření umožňuje nastavit možnosti konfigurace Dapr pomocí --configuration-settings parametru v Azure CLI nebo configurationSettings vlastnosti v šabloně Bicep.

Důležité

Od 30. listopadu 2025 už Azure Kubernetes Service (AKS) nepodporuje ani neposkytuje aktualizace zabezpečení pro Azure Linux 2.0. Image uzlu Azure Linux 2.0 je zafixována u verze 202512.06.0. Od 31. března 2026 se image uzlů odeberou a nebudete moct škálovat fondy uzlů. Přejděte na podporovanou verzi Azure Linuxu aktualizací poolů uzlů na podporovanou verzi Kubernetes nebo migrací na osSku AzureLinux3. Další informace najdete v tématu Problém s vyřazením z GitHubu a oznámení o vyřazení aktualizací Azure. Pokud chcete mít přehled o oznámeních a aktualizacích, postupujte podle poznámek k verzi AKS.

Aktualizace nastavení konfigurace

Důležité

Některé možnosti konfigurace nelze po vytvoření změnit. Úpravy těchto možností vyžadují odstranění a znovuvytvoření rozšíření, které se uplatní na následující nastavení:

  • global.ha.*
  • dapr_placement.*

Vysoká dostupnost je ve výchozím nastavení povolená. Zakázání vyžaduje odstranění a znovuvytvoření rozšíření.

Pokud chcete aktualizovat nastavení konfigurace Dapr, znovu vytvořte rozšíření s požadovaným stavem. Řekněme například, že jste dříve vytvořili a nainstalovali rozšíření pomocí následující konfigurace:

az k8s-extension create --cluster-type managedClusters \
--cluster-name <your-AKS-cluster> \
--resource-group <your-resource-group> \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \  
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2"

Pokud chcete aktualizovat dapr_operator.replicaCount ze dvou na tři, vytvořte rozšíření znovu pomocí následujícího příkazu:

az k8s-extension create --cluster-type managedClusters \
--cluster-name <your-AKS-cluster> \
--resource-group <your-resource-group> \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=3"

Správa certifikátů mTLS

Rozšíření Dapr podporuje přenášené šifrování komunikace mezi instancemi Dapr pomocí řídicí roviny služby Dapr Sentry, což je centrální certifikační autorita (CA). Pomocí služby Sentry můžete šifrovat komunikaci pomocí certifikátů podepsaných svým držitelem nebo uživatelským certifikátem x.509. Další informace o nastavení certifikátů mTLS najdete v opensourcové dokumentaci k Dapr.

Můžete vnést své vlastní certifikáty, nebo nechat Dapr automaticky vytvářet a uchovávat kořenové a vydavatelské certifikáty podepsané samy sebou.

Důležité

Pokud certifikáty explicitně nenakonfigurujete, Dapr vygeneruje certifikáty podepsané svým držitelem, které jsou platné po dobu jednoho roku. V současné době se nedoporučuje používat certifikáty podepsané svým držitelem vygenerované nástrojem Dapr. Osvědčeným postupem je generovat vlastní certifikáty a aktualizovat je ručně.

Správa certifikátů podepsaných svým držitelem (self-signed certificate) vygenerovaných pomocí dapr

Pokud nezadáte žádné vlastní certifikáty, Dapr automaticky vytvoří a zachová certifikáty podepsané svým držitelem( platné po dobu jednoho roku). Rozšíření Dapr nainstaluje dapr-trust-bundle tajný kód, který obsahuje informace o certifikátu ve výchozím dapr-system oboru názvů.

Kontrola vypršení platnosti aktuálních certifikátů generovaných Dapr a samopodepsaných

Pomocí rozhraní příkazového řádku Dapr můžete zkontrolovat, kdy vyprší platnost kořenového certifikátu Dapr vašeho clusteru Kubernetes.

dapr mtls expiry

Očekávaný výstup:

Root certificate expires in 8759 hours. Expiry date: 2025-12-06 18:14:20 +0000 UTC

Datum vypršení platnosti aktuálního certifikátu najdete také v tajných datech Kubernetes dapr-trust-bundle .

kubectl get secret dapr-trust-bundle -n dapr-system -o jsonpath='{.data.issuer\.crt}' | base64 -d | openssl x509 -noout -dates

Očekávaný výstup:

notBefore=Dec  6 17:59:20 2024 GMT
notAfter=Dec  6 18:14:20 2025 GMT

Vygenerovat nový Dapr-generovaný samo-podepsaný certifikát

Správa vlastních uživatelských certifikátů x.509

Můžete také použít vlastní certifikáty.

Nastavení Dapr s povolenou vysokou dostupností

Nastavení Dapr na vysokou dostupnost povolenou nastavením parametru global.ha.enabled na true.

az k8s-extension create --cluster-type managedClusters \
--cluster-name <your-AKS-cluster> \
--resource-group <your-resource-group> \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2"

Poznámka:

Pokud jsou nastavení konfigurace citlivá a potřebujete je chránit (například informace související s certifikáty), předejte --configuration-protected-settings parametr, který chrání hodnotu před čtením.

Pokud se nepředá žádné nastavení konfigurace, nastaví se výchozí nastavení Dapr na:

  ha:
    enabled: true
    replicaCount: 3
    disruption:
      minimumAvailable: ""
      maximumUnavailable: "25%"
  prometheus:
    enabled: true
    port: 9090
  mtls:
    enabled: true
    workloadCertTTL: 24h
    allowedClockSkew: 15m

Seznam dostupných možností najdete v části Konfigurace Dapr.

Omezení rozšíření na určité uzly

V některých konfiguracích můžete chtít spustit dapr jenom na určitých uzlech. Rozšíření můžete omezit tím, že v konfiguraci rozšíření předáte nodeSelector. Pokud požadovaná nodeSelector hodnota obsahuje ., musíte je utéct z prostředí a rozšíření. Například následující konfigurace nainstaluje Dapr pouze na uzly s topology.kubernetes.io/zone: "us-east-1c":

az k8s-extension create --cluster-type managedClusters \
--cluster-name <your-AKS-cluster> \
--resource-group <your-resource-group> \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2" \
--configuration-settings "global.nodeSelector.kubernetes\.io/zone=us-east-1c"

Ke správě operačního systému a architektury použijte global.daprControlPlaneOs a global.daprControlPlaneArch konfigurace:

az k8s-extension create --cluster-type managedClusters \
--cluster-name <your-AKS-cluster> \
--resource-group <your-resource-group> \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2" \
--configuration-settings "global.daprControlPlaneOs=linux" \
--configuration-settings "global.daprControlPlaneArch=amd64"

Instalace Dapr v několika zónách dostupnosti v režimu vysoké dostupnosti

Ve výchozím nastavení služba umístění používá třídu úložiště typu standard_LRS. Při instalaci Dapr v režimu vysoké dostupnosti napříč několika zónami dostupnosti se doporučuje vytvořit zónově redundantní třídu úložiště. Pokud chcete například vytvořit zrs třídu úložiště typu, přidejte parametr storageaccounttype :

kind: StorageClass
apiVersion: storage.k8s.io/v1
metadata:
  name: custom-zone-redundant-storage
provisioner: disk.csi.azure.com
reclaimPolicy: Delete
allowVolumeExpansion: true
volumeBindingMode: WaitForFirstConsumer
parameters:
  storageaccounttype: Premium_ZRS

Při instalaci Dapr použijte třídu úložiště, kterou jste použili v souboru YAML:

az k8s-extension create --cluster-type managedClusters  
--cluster-name <your-AKS-cluster>
--resource-group <your-resource-group>
--name dapr
--extension-type Microsoft.Dapr
--auto-upgrade-minor-version true
--configuration-settings "dapr_placement.volumeclaims.storageClassName=custom-zone-redundant-storage"

Konfigurace oboru názvů verze Dapr

Obor názvů vydaných verzí můžete nakonfigurovat.

Ve výchozím nastavení se rozšíření Dapr nainstaluje do oboru názvů dapr-system. Chcete-li jej přepsat, použijte --release-namespace. Chcete-li předefinovat obor názvů, zahrňte cluster --scope.

az k8s-extension create \
--cluster-type managedClusters \
--cluster-name <your-AKS-cluster> \
--resource-group <your-resource-group> \
--name dapr \
--extension-type microsoft.dapr \
--release-train stable \
--auto-upgrade false \
--version 1.9.2 \
--scope cluster \
--release-namespace dapr-custom

Zjistěte, jak nakonfigurovat obor názvů verze Dapr při migraci z open source Dapr na rozšíření Dapr.

Zobrazit aktuální nastavení konfigurace

az k8s-extension show Pomocí příkazu zobrazíte aktuální nastavení konfigurace Dapr:

az k8s-extension show --cluster-type managedClusters \
--cluster-name <your-AKS-cluster> \
--resource-group <your-resource-group> \
--name dapr

Nastavení úrovní protokolů monitorování Dapr

Nastavení pro komponentu monitorování Dapr můžete nakonfigurovat pomocí rozšíření clusteru AKS. Pokud chcete například aktualizovat dapr_monitoring úrovně protokolu na varování (být upozorněni pouze při výskytu varování nebo chyby), nastavte následující configuration-settings:

az k8s-extension create --cluster-type managedClusters \
--cluster-name <your-AKS-cluster> \
--resource-group <your-resource-group> \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_monitoring.logLevel=warn"

Nastavení odchozího proxy serveru pro rozšíření Dapr pro místní službu Azure Arc

Pokud chcete pro AKS použít odchozí proxy server s rozšířením Dapr, můžete to udělat takto:

  1. Nastavení proměnných prostředí proxy pomocí dapr.io/env poznámek:
    • HTTP_PROXY
    • HTTPS_PROXY
    • NO_PROXY
  2. Instalace proxy certifikátu do sidecaru.

Aktualizace verze instalace Dapr

Pokud používáte konkrétní verzi Dapr a nemáte --auto-upgrade-minor-version k dispozici, můžete k upgradu nebo downgradu Dapr použít následující příkaz:

az k8s-extension update --cluster-type managedClusters \
--cluster-name <your-AKS-cluster> \
--resource-group <your-resource-group> \
--name dapr \
--version 1.12.0 # Version to upgrade or downgrade to

Předchozí příkaz aktualizuje pouze řídicí rovinu Dapr. Chcete-li aktualizovat Dapr sidecary, restartujte nasazení aplikací.

kubectl rollout restart deploy/<deployment-name>

Použití imagí založených na Linuxu v Azure

Od verze Dapr 1.8.0 můžete použít imagy Azure Linuxu s rozšířením Dapr. Pokud je chcete použít, nastavte global.tag příznak:

az k8s-extension update --cluster-type managedClusters \
--cluster-name <your-AKS-cluster> \
--resource-group <your-resource-group> \
--name dapr \
--set global.tag=1.10.0-mariner

Zakázání automatických aktualizací CRD

Od verze 1.9.2 Dapr se při upgradu rozšíření CRD automaticky upgradují. Chcete-li toto nastavení zakázat, můžete nastavit hooks.applyCrds na false.

az k8s-extension update --cluster-type managedClusters \
--cluster-name <your-AKS-cluster> \
--resource-group <your-resource-group> \
--name dapr \
--configuration-settings "hooks.applyCrds=false"

Poznámka:

CRD se použijí jenom v případě aktualizací a během downgrade se přeskočí.

Splnění požadavků na síť

Rozšíření Dapr vyžaduje následující odchozí adresy URL na https://:443, aby fungovalo na AKS a Arc pro Kubernetes:

Další krok

Nasazení a spouštění pracovních postupů pomocí rozšíření Dapr

Migrace z open-source Dapr na rozšíření Dapr

  • Last updated on