Připojení clusteru Azure Kubernetes Service ke službě Azure Arc
Platí pro: AKS v Azure Stack HCI 22H2, AKS na Windows Serveru
Když je cluster Azure Kubernetes Service (AKS) připojený ke službě Azure Arc, získá reprezentaci Azure Resource Manageru. Clustery jsou připojené ke standardním předplatným Azure, nacházejí se ve skupině prostředků a můžou přijímat značky stejně jako jakýkoli jiný prostředek Azure. Reprezentace Kubernetes také umožňuje rozšířit do clusteru Kubernetes následující funkce:
- Služby pro správu: konfigurace (GitOps), Azure Monitor pro kontejnery, Azure Policy (Gatekeeper).
- Datové služby: SQL Managed Instance, PostgreSQL Hyperscale.
- Aplikační služby: App Service, Functions, Event Grid, Logic Apps, API Management.
Pokud chcete připojit cluster Kubernetes k Azure, musí správce clusteru nasadit agenty. Tito agenti běží v oboru názvů Kubernetes s názvem azure-arc a jsou standardní nasazení Kubernetes. Agenti zodpovídají za připojení k Azure, shromažďování protokolů a metrik Azure Arc a povolení dříve zmíněných scénářů v clusteru.
AKS podporuje standardní SSL pro zabezpečení přenášených dat. Data se také ukládají zašifrovaná neaktivní uložená data v databázi Azure Cosmos DB, aby se zajistila důvěrnost dat.
Následující kroky popisují, jak připojit clustery AKS ke službě Azure Arc ve službě AKS povolené službou Arc. Tyto kroky můžete přeskočit, pokud už jste cluster Kubernetes připojili ke službě Azure Arc pomocí Centra pro správu Windows.
Než začnete
Ověřte, že máte následující požadavky:
- Cluster AKS s alespoň jedním pracovním uzlem Linuxu, který je spuštěný.
- Nainstalujte modul PowerShellu AksHci.
- Následující úroveň přístupu pro vaše předplatné Azure:
- Uživatelský účet s integrovanou rolí Vlastník . Úroveň přístupu můžete zkontrolovat tak, že přejdete do svého předplatného, vyberete Řízení přístupu (IAM) na levé straně webu Azure Portal a potom kliknete na Zobrazit můj přístup.
- Instanční objekt s integrovanou rolí Vlastník.
- Příkazy v tomto článku spusťte v okně pro správu PowerShellu.
- Ujistěte se, že splňujete síťové požadavky AKS.
Krok 1: Přihlášení k Azure
Pokud se chcete přihlásit k Azure, spusťte příkaz PowerShellu Connect-AzAccount :
Connect-AzAccount $tenantId
Pokud chcete přepnout na jiné předplatné, spusťte příkaz PowerShellu Set-AzContext :
Set-AzContext -Subscription $subscriptionId
Krok 2: Registrace dvou poskytovatelů pro AKS
Tento krok můžete přeskočit, pokud jste už ve svém předplatném zaregistrovali dva poskytovatele pro AKS. Registrace je asynchronní proces a musí nastat jednou pro každé předplatné. Registrace může trvat přibližně 10 minut:
Register-AzResourceProvider -ProviderNamespace Microsoft.Kubernetes
Register-AzResourceProvider -ProviderNamespace Microsoft.KubernetesConfiguration
Register-AzResourceProvider -ProviderNamespace Microsoft.ExtendedLocation
Můžete zkontrolovat, že jste zaregistrovaní pomocí následujících příkazů:
Get-AzResourceProvider -ProviderNamespace Microsoft.Kubernetes
Get-AzResourceProvider -ProviderNamespace Microsoft.KubernetesConfiguration
Get-AzResourceProvider -ProviderNamespace Microsoft.ExtendedLocation
Krok 3: Připojení k Azure Arc pomocí modulu Aks-Hci PowerShellu
Připojte cluster AKS k Kubernetes pomocí příkazu Enable-AksHciArcConnection PowerShell. Tento krok nasadí agenty Azure Arc pro Kubernetes do azure-arc
oboru názvů:
Enable-AksHciArcConnection -name $clusterName
Připojení clusteru AKS ke službě Azure Arc pomocí instančního objektu
Pokud nemáte přístup k předplatnému, na kterém jste vlastníkem, můžete cluster AKS připojit ke službě Azure Arc pomocí instančního objektu.
První příkazový řádek zobrazí přihlašovací údaje instančního objektu $Credential
a uloží je do proměnné. Po zobrazení výzvy zadejte ID vaší aplikace pro uživatelské jméno a pak jako heslo použijte tajný kód instančního objektu. Ujistěte se, že tyto hodnoty získáte od správce předplatného. Druhý příkaz připojí cluster ke službě Azure Arc pomocí přihlašovacích údajů instančního objektu uložených $Credential
v proměnné:
$Credential = Get-Credential
Enable-AksHciArcConnection -name $clusterName -subscriptionId $subscriptionId -resourceGroup $resourceGroup -credential $Credential -tenantId $tenantId -location $location
Ujistěte se, že má instanční objekt použitý v tomto příkazu přiřazenou roli Vlastník a že má obor nad ID předplatného použitého v příkazu. Další informace o instančních objektech najdete v tématu Vytvoření instančního objektu pomocí Azure PowerShellu.
Připojení clusteru AKS ke službě Azure Arc a povolení vlastních umístění
Pokud chcete povolit vlastní umístění v clusteru společně s Azure Arc, spuštěním následujícího příkazu získejte ID objektu vlastní aplikace umístění a pak se pomocí instančního objektu připojte ke službě Azure Arc:
$objectID = (Get-AzADServicePrincipal -ApplicationId "00001111-aaaa-2222-bbbb-3333cccc4444").Id
Enable-AksHciArcConnection -name $clusterName -subscriptionId $subscriptionId -resourceGroup $resourceGroup -credential $Credential -tenantId $tenantId -location -customLocationsOid $objectID
Ověření připojeného clusteru
Prostředek clusteru Kubernetes můžete zobrazit na webu Azure Portal. Po otevření portálu v prohlížeči přejděte do skupiny prostředků a prostředku AKS, který je založený na názvu prostředku a vstupech názvu skupiny prostředků použitých v příkazu powershellu enable-akshciarcconnection .
Poznámka:
Po připojení clusteru může trvat přibližně pět až deset minut, než se metadata clusteru (verze clusteru, verze agenta, počet uzlů) zobrazí na stránce přehledu prostředku AKS na webu Azure Portal.
Agenti Azure Arc pro Kubernetes
AKS nasadí do azure-arc
oboru názvů několik operátorů. Tato nasazení a pody můžete zobrazit pomocí kubectl
příkazu , jak je znázorněno v následujícím příkladu:
kubectl -n azure-arc get deployments,pods
AKS se skládá z několika agentů (operátorů), které běží v clusteru nasazeného do azure-arc
oboru názvů. Další informace o těchto agentech najdete v tomto přehledu.
Odpojení clusteru AKS od Azure Arc
Pokud chcete cluster odpojit od AKS, spusťte příkaz Disable-AksHciArcConnection PowerShell. Před spuštěním příkazu se ujistěte, že se přihlásíte k Azure:
Disable-AksHciArcConnection -Name $clusterName