Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro ✔️ Fleet Manager s centrálním clusterem.
Tento článek obsahuje koncepční přehled oborů názvů spravovaného vozového parku Azure Kubernetes Fleet Manageru, které poskytují centrálně spravované víceklientské řešení s více clustery.
Důležité
Funkce Azure Kubernetes Fleet Manageru ve verzi Preview jsou dostupné na samoobslužné bázi s výslovným souhlasem. Ukázky jsou poskytovány "jak jsou" a "podle aktuální dostupnosti" a jsou vyloučené ze smluv o úrovni služeb a omezené záruky. Verze Preview Azure Kubernetes Fleet Manageru jsou částečně pokryty zákaznickou podporou s vynaložením maximálního úsilí. Proto tyto funkce nejsou určené pro produkční použití.
Co jsou spravované jmenné prostory flotily?
Při nasazení na cílové členské clustery umožňují spravované názvové prostory flotily správcům platformy uplatňovat kvóty zdrojů, zásady sítě, štítky, anotace a řídit přístup ke zdrojům jmenného prostoru na každém clusteru. Spravované "Fleet" obory názvů rozšiřují schopnosti spravovaného oboru názvů Kubernetes, které poskytují způsob, jak logicky izolovat úlohy v rámci jednoho clusteru AKS.
Spravované obory názvů flotily používají generované umístění prostředků clusteru (CRP) Fleet Manageru, které je jen pro čtení, k rozšíření centrálně definovaného oboru názvů do vybraných členských clusterů.
Při vytváření oboru názvů řízeného Fleetem můžete také kontrolovat:
- Zásady přijetí: Definují, jak se řeší konflikty při umístění oboru názvů spravovaného vozového parku do členského clusteru, kde existuje nespravovaný obor názvů nebo spravovaný obor názvů Kubernetes se stejným názvem.
- Politika odstranění: Definuje, zda se prostředky Kubernetes odstraní při odstranění prostředku Azure spravovaného oboru názvů flotily.
Nastavení kvót prostředků
Správci platformy můžou použít kvóty prostředků k omezení spotřeby procesoru a paměti na úrovni oboru názvů. Pokud tuto možnost vynecháte, pro obor názvů se nepoužije žádná kvóta prostředků.
- Požadavky a omezení procesoru: Nastavte minimální a maximální prostředky procesoru, které můžou úlohy v oboru názvů požadovat nebo využívat.
- Požadavky na paměť a omezení: Nastavte minimální a maximální paměťové prostředky, které můžou úlohy v oboru názvů požadovat nebo využívat.
Poznámka:
Kvóty nastavené pro obor názvů se použijí pro každý jednotlivý členský cluster nezávisle, nesdílí se napříč všemi clustery, na kterých běží obor názvů.
Nastavení zásad sítě
Síťové politiky řídí povolený provoz pro pody v rámci jmenného prostoru. Můžete nezávisle vybrat jednu ze tří předdefinovaných zásad sítě pro příchozí a odchozí provoz. Pokud tuto možnost vynecháte, pro obor názvů se nepoužije žádná zásada sítě.
Zásady sítě se použijí pro každý cluster jednotlivě a neřídí síťový provoz mezi clustery pro obor názvů. Každý členský cluster vynucuje vlastní zásady sítě nezávisle v rámci místní instance oboru názvů. Mezi síťové zásady patří:
- Povolit vše: Povolí veškerý síťový provoz, včetně provozu mezi pody a externími koncovými body.
- Povolit stejný obor názvů: Povolí veškerý síťový provoz mezi pody v rámci stejného oboru názvů.
- Odepřít vše: Odepřít veškerý síťový provoz, včetně provozu mezi pody a externími koncovými body.
Poznámka:
Spravované obory názvů flotily nastavují výchozí síťové politiky, ale uživatelé oborů názvů s dostatečnými oprávněními mohou přidat další politiky, které zmírní celkovou síťovou politiku pro obory názvů. Toto chování odpovídá standardnímu doplňkovému chování síťových zásad Kubernetes.
Popisky a poznámky
Na spravovaný obor názvů pro flotilu můžete použít jak popisky, tak poznámky Kubernetes. Každý spravovaný obor názvů má ve výchozím nastavení integrovaný štítek označující, že je spravovaný ARM.
Zásady přijetí
Když se vytvoří spravovaný obor názvů pro cluster, zásada adopce určuje, jak se zpracovávají existující nespravované nebo spravované obory názvů Kubernetes, pokud už v cílovém clusteru existují. K dispozici jsou následující možnosti:
- Nikdy: Vytvoření spravovaného oboru názvů selže, pokud už v clusteru existuje obor názvů se stejným názvem.
- IfIdentical: Vytvoření spravovaného oboru názvů selže, pokud obor názvů se stejným názvem již v clusteru existuje, pokud obory názvů nejsou identické. Pokud jsou obory názvů stejné, Správce flotily převezme existující obor názvů, který se má spravovat.
- Vždy: Spravovaný obor názvů vždy převezme existující obor názvů, i když jsou některé prostředky v oboru názvů přepsány.
Během přijetí může spravovaný obor názvů flotily převzít pole v existujícím oboru názvů v členském clusteru, ale neodebere zdroje z tohoto oboru názvů.
Odstranění zásad
Zásady pro odstranění určují způsob, jakým je zpracováván obor názvů Kubernetes při odstranění prostředku Azure pro spravovaný obor názvů flotily. Existují dvě předdefinované možnosti:
-
Zachovat: Ponechá obor názvů Kubernetes nedotčený na členských clusterech, ale odstraní
ManagedByARMlabel. - Smazat: Odstraní obor názvů Kubernetes a všechny prostředky v něm z členských clusterů.
Výstraha
Zásada odstranění odstranění zcela odebere prostředek oboru názvů Kubernetes a prostředky v něm z cílových členských clusterů, i když dříve existoval a byl přijat spravovaným oborem názvů flotily.
Předdefinované role služby Managed Fleet Namespace
Spravované obory názvů flotily používají existující role Řízení přístupu na základě role (RBAC) společnosti Azure role Azure Resource Manager ke správě a přístupu ke spravovaným oborům názvů. Existující role roviny dat Kubernetes se použijí pro interakci s instancí oboru názvů spravovaného parku vytvořené v clusteru centra Fleet Manager.
Důležité
Když přiřadíte role RBAC v oboru oboru názvů spravovaného fleetu, udělí se přístup všem nespravovaným oborům názvů Kubernetes na členských clusterech se stejným názvem.
Chcete-li řídit přístup k Namespace spravovaného flotila na členských clusterech, použijte následující předdefinované role, které lze aplikovat na úrovni oboru názvů:
| Role | Description |
|---|---|
| Čtenář RBAC pro členské clustery v Azure Kubernetes Fleet Manageru | • Přístup jen pro čtení k většině objektů v prostoru názvů v členském clusteru. • Nelze zobrazit role ani vazby rolí. • Nejde zobrazit tajné kódy (brání eskalaci oprávnění prostřednictvím ServiceAccount přihlašovacích údajů). |
| Azure Kubernetes Fleet Manager – zapisovač RBAC pro členské clustery | • Přístup pro čtení a zápis k většině prostředků Kubernetes v jmenném prostoru. • Nelze zobrazit nebo upravit role nebo vazby rolí. • Může číst tajné kódy (a může předpokládat jakýkoliv ServiceAccount v oboru názvů). |
| Správce RBAC pro členské clustery Azure Kubernetes Fleet Manager | • Čtení a zápis k prostředkům Kubernetes v rámci prostoru názvů v rámci členovského clustera. |
| Správce clusteru RBAC pro členské clustery v Azure Kubernetes Fleet Manager | • Úplný přístup pro čtení a zápis ke všem prostředkům Kubernetes v členském clusteru. |
Vývojář v team-A, který používá obor názvů Managed Fleet team-A, by například potřeboval číst a zapisovat prostředky Kubernetes v oboru názvů na hub clusteru Fleet Manager. Vývojář by také potřeboval číst objekty Kubernetes v team-A oboru názvů ve členských clusterech, ve kterých běží. Správce platformy by jim proto přiřadil Azure Kubernetes Fleet Manager RBAC Writer v oboru flotily a RBAC Reader Azure Kubernetes Fleet Manager pro členské clustery v oboru názvů spravované flotily pro tyto příslušné požadavky.
Ve verzi Preview nejsou u těchto rolí podporované řízení přístupu pro vlastní prostředky Kubernetes.
Další kroky
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
Azure Kubernetes Service