Kurz: Povolení doplňku kontroleru příchozího přenosu dat pro nový cluster AKS s novou instancí služby Application Gateway
Pomocí Azure CLI můžete povolit doplněk kontroleru příchozího přenosu dat služby Application Gateway (AGIC) pro nový cluster Azure Kubernetes Services (AKS ).
V tomto kurzu vytvoříte cluster AKS s povoleným doplňkem AGIC. Vytvoření clusteru automaticky vytvoří instanci služby Azure Application Gateway, která se má použít. Pak nasadíte ukázkovou aplikaci, která použije doplněk k zveřejnění aplikace prostřednictvím aplikační brány.
Doplněk poskytuje mnohem rychlejší způsob nasazení AGIC pro váš cluster AKS než dříve prostřednictvím Nástroje Helm. Nabízí také plně spravované prostředí.
V tomto kurzu se naučíte:
- Vytvořte skupinu prostředků.
- Vytvořte nový cluster AKS s povoleným doplňkem AGIC.
- Nasaďte ukázkovou aplikaci pomocí AGIC pro příchozí přenos dat v clusteru AKS.
- Zkontrolujte, jestli je aplikace dostupná prostřednictvím služby Application Gateway.
Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.
Požadavky
Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.
Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.
Vytvoření skupiny zdrojů
V Azure přidělíte související prostředky ke skupině prostředků. Vytvořte skupinu prostředků pomocí příkazu az group create. Následující příklad vytvoří skupinu prostředků myResourceGroup v umístění USA – východ (oblast):
az group create --name myResourceGroup --location eastus
Nasazení clusteru AKS s povoleným doplňkem
Teď nasadíte nový cluster AKS s povoleným doplňkem AGIC. Pokud nezadáte existující instanci služby Application Gateway, která se má v tomto procesu používat, automaticky vytvoříte a nastavíte novou instanci služby Application Gateway, která bude obsluhovat provoz do clusteru AKS.
Poznámka:
Doplněk kontroleru příchozího přenosu dat služby Application Gateway podporuje pouze skladové položky aplikační brány v2 (Standard a WAF), nikoli skladové položky aplikační brány v1. Když nasazujete novou instanci aplikační brány prostřednictvím doplňku AGIC, můžete nasadit jenom aplikační bránu Standard_v2 skladové položky. Pokud chcete povolit doplněk pro službu Application Gateway WAF_v2 SKU, použijte některou z těchto metod:
- Povolte WAF na aplikační bráně prostřednictvím portálu.
- Nejprve vytvořte instanci služby Application Gateway WAF_v2 a pak postupujte podle pokynů k povolení doplňku AGIC s existujícím clusterem AKS a existující instancí aplikační brány.
V následujícím příkladu nasadíte nový cluster AKS s názvem myCluster pomocí Azure CNI a spravovaných identit. Doplněk AGIC se povolí ve skupině prostředků, kterou jste vytvořili, myResourceGroup.
Nasazení nového clusteru AKS s povoleným doplňkem AGIC bez zadání existující instance aplikační brány automaticky vytvoří instanci služby Application Gateway Standard_v2 SKU. Budete muset zadat název a adresní prostor podsítě pro novou instanci aplikační brány. Adresní prostor musí mít předponu 10.224.0.0/12 používanou virtuální sítí AKS, aniž by se překrývala s předponou 10.224.0.0/16 používanou podsítí AKS. V tomto kurzu použijte myApplicationGateway pro název aplikační brány a adresní prostor podsítě 10.225.0.0/16 .
az aks create -n myCluster -g myResourceGroup --network-plugin azure --enable-managed-identity -a ingress-appgw --appgw-name myApplicationGateway --appgw-subnet-cidr "10.225.0.0/16" --generate-ssh-keys
[!POZNÁMKA!] Ujistěte se, že identita, kterou AGIC používá, má delegované oprávnění Microsoft.Network/virtualNetworks/subnets/join/action do služby Application Gateway podsítě. Pokud s tímto oprávněním není definovaná vlastní role, můžete použít předdefinované role Přispěvatel sítě, která obsahuje oprávnění Microsoft.Network/virtualNetworks/subnets/join/action .
# Get application gateway id from AKS addon profile
appGatewayId=$(az aks show -n myCluster -g myResourceGroup -o tsv --query "addonProfiles.ingressApplicationGateway.config.effectiveApplicationGatewayId")
# Get Application Gateway subnet id
appGatewaySubnetId=$(az network application-gateway show --ids $appGatewayId -o tsv --query "gatewayIpConfigurations[0].subnet.id")
# Get AGIC addon identity
agicAddonIdentity=$(az aks show -n myCluster -g myResourceGroup -o tsv --query "addonProfiles.ingressApplicationGateway.identity.clientId")
# Assign network contributor role to AGIC addon identity to subnet that contains the Application Gateway
az role assignment create --assignee $agicAddonIdentity --scope $appGatewaySubnetId --role "Network Contributor"
Pokud chcete pro výše uvedený příkaz nakonfigurovat další parametry, přečtěte si příkaz az aks create.
Poznámka:
Cluster AKS, který jste vytvořili, se zobrazí ve skupině prostředků, kterou jste vytvořili, myResourceGroup. Automaticky vytvořená instance aplikační brány se ale bude nacházet ve skupině prostředků uzlu, ve které jsou fondy agentů. Skupina prostředků uzlu má ve výchozím nastavení název MC_resource-group-name_cluster-name_location , ale lze ji upravit.
Nasazení ukázkové aplikace pomocí AGIC
Teď nasadíte ukázkovou aplikaci do clusteru AKS, který jste vytvořili. Aplikace použije doplněk AGIC pro příchozí přenos dat a připojí instanci aplikační brány ke clusteru AKS.
Nejprve spuštěním az aks get-credentials příkazu získejte přihlašovací údaje ke clusteru AKS:
az aks get-credentials -n myCluster -g myResourceGroup
Teď, když máte přihlašovací údaje, spusťte následující příkaz a nastavte ukázkovou aplikaci, která používá AGIC pro příchozí přenos dat do clusteru. AGIC aktualizuje instanci aplikační brány, kterou jste nastavili dříve, s odpovídajícími pravidly směrování na ukázkovou aplikaci, kterou nasazujete.
kubectl apply -f https://raw.githubusercontent.com/Azure/application-gateway-kubernetes-ingress/master/docs/examples/aspnetapp.yaml
Zkontrolujte, jestli je aplikace dostupná.
Teď, když je instance služby Application Gateway nastavená tak, aby obsluhuje provoz do clusteru AKS, ověříme, jestli je vaše aplikace dostupná. Nejprve získejte IP adresu příchozího přenosu dat:
kubectl get ingress
Zkontrolujte, jestli je ukázková aplikace, kterou jste vytvořili, spuštěná:
- Přejděte na IP adresu instance služby Application Gateway, kterou jste získali ze spuštění předchozího příkazu.
- Pomocí nástroje
curl
Aktualizace může trvat minutu. Pokud je služba Application Gateway stále ve stavu aktualizace na portálu, nechte ji dokončit, než se pokusíte připojit k IP adrese.
Vyčištění prostředků
Pokud je už nepotřebujete, odstraňte všechny prostředky vytvořené v tomto kurzu odstraněním skupiny prostředků myResourceGroup a MC_myResourceGroup_myCluster_eastus skupiny prostředků:
az group delete --name myResourceGroup
az group delete --name MC_myResourceGroup_myCluster_eastus
Další kroky
V tomto kurzu se naučíte:
- Vytvoření nového clusteru AKS s povoleným doplňkem AGIC
- Nasazení ukázkové aplikace pomocí AGIC pro příchozí přenos dat v clusteru AKS
Další informace o AGIC najdete v tématu Co je kontroler příchozího přenosu dat služby Application Gateway a zakázání a opětovné povolení doplňku AGIC pro váš cluster AKS.
Pokud chcete zjistit, jak povolit doplněk kontroleru příchozího přenosu dat služby Application Gateway pro existující cluster AKS se stávající službou Application Gateway, přejděte k dalšímu kurzu.