Rychlý start: Požadavky pro operátor a kontejnerizovanou síťovou funkci (CNF)

Tento rychlý start obsahuje požadované úlohy pro operátor a kontejnerizovanou síťovou funkci (CNF). I když je možné tyto úlohy automatizovat v rámci NSD (Network Service Definition), v tomto rychlém startu se akce provádějí ručně.

Poznámka:

Úkoly uvedené v tomto článku mohou nějakou dobu vyžadovat dokončení.

Oprávnění

K dokončení těchto požadavků pro operátora a kontejnerizovanou síťovou funkci potřebujete předplatné Azure, ve kterém máte roli Přispěvatel (k vytvoření skupiny prostředků) a potřebujete mít možnost dosáhnout role Vlastník nebo Uživatelský přístup Správa istratoru v této skupině prostředků. Případně potřebujete existující skupinu prostředků, ve které máte roli Vlastník nebo Uživatelský přístup Správa istrator.

Potřebujete také roli Vlastník nebo Uživatelský přístup Správa istrator ve skupině prostředků Vydavatele definic síťových funkcí. Skupina prostředků Publisheru definice síťové funkce byla vytvořena v rychlém startu: Publikujte kontejner Nginx jako kontejnerovou síťovou funkci (CNF) a v souboru input.json pojmenujte nginx-publisher-rg.

Nastavení proměnných prostředí

Upravte nastavení proměnných prostředí a odkazy podle potřeby pro vaše konkrétní prostředí. Například ve Windows PowerShellu byste nastavili proměnné prostředí následujícím způsobem:

$env:ARC_RG="<my rg>"

Pokud chcete použít proměnnou prostředí, odkazujte na ni jako $env:ARC_RGna .

export resourceGroup=operator-rg
export location=<region>
export clusterName=<replace with clustername>
export customlocationId=${clusterName}-custom-location
export extensionId=${clusterName}-extension

Vytvoření skupiny prostředků

Vytvořte skupinu prostředků pro hostování clusteru Azure Kubernetes Service (AKS). To bude také místo, kde se prostředky operátora vytvoří v dalších příručkách.

az account set --subscription <subscription>
az group create -n ${resourceGroup} -l ${location}

Zřízení clusteru Azure Kubernetes Service (AKS)

Poznámka:

Ujistěte se, že agentCount je nastavená hodnota 1. V tuto chvíli se vyžaduje jenom jeden uzel.

az aks create -g ${resourceGroup} -n ${clusterName} --node-count 1 --generate-ssh-keys

Povolení služby Azure Arc

Povolte Azure Arc pro cluster Azure Kubernetes Service (AKS). Spuštění následujících příkazů by mělo být dostatečné. Další informace najdete v tématu Vytváření a správa vlastních umístění v Kubernetes s podporou Služby Azure Arc.

Načtení konfiguračního souboru pro cluster AKS

az aks get-credentials --resource-group ${resourceGroup} --name ${clusterName}

Vytvoření připojeného clusteru

Vytvořte cluster:

az connectedk8s connect --name ${clusterName} --resource-group ${resourceGroup}

Registrace předplatného

Zaregistrujte své předplatné u poskytovatele prostředků Microsoft.ExtendedLocation:

az provider register --namespace Microsoft.ExtendedLocation

Povolení vlastních umístění

Povolení vlastních umístění v clusteru:

az connectedk8s enable-features -n ${clusterName} -g ${resourceGroup} --features cluster-connect custom-locations

Připojení clusteru

Připojení clusteru:

az connectedk8s connect --name ${clusterName} -g ${resourceGroup} --location $location

Vytvoření rozšíření

Vytvoření rozšíření:

az k8s-extension create -g ${resourceGroup} --cluster-name ${clusterName} --cluster-type connectedClusters --name ${extensionId} --extension-type microsoft.azure.hybridnetwork --release-train preview --scope cluster

Vytvoření vlastního umístění

Vytvořte vlastní umístění:

export ConnectedClusterResourceId=$(az connectedk8s show --resource-group ${resourceGroup} --name ${clusterName} --query id -o tsv)
export ClusterExtensionResourceId=$(az k8s-extension show -c $clusterName -n $extensionId -t connectedClusters -g ${resourceGroup} --query id -o tsv)
az customlocation create -g ${resourceGroup} -n ${customlocationId} --namespace "azurehybridnetwork" --host-resource-id $ConnectedClusterResourceId --cluster-extension-ids $ClusterExtensionResourceId

Načtení hodnoty vlastního umístění

Načtěte hodnotu Vlastní umístění. Tyto informace potřebujete k vyplnění hodnot skupiny konfigurace pro vaši síťovou službu lokality (SNS).

Na webu Azure Portal vyhledejte název vlastního umístění (customLocationId) a pak vyberte Vlastnosti. Vyhledejte úplné ID zdroje v oblasti Základní informace a vyhledejte ID názvu pole. Následující obrázek obsahuje příklad umístění informací o ID prostředku.

Tip

Úplné ID prostředku má formát: /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.extendedlocation/customlocations/{customLocationName}

Vytvoření spravované identity přiřazené uživatelem pro síťovou službu lokality

1. Uložte následující skript Bicep místně jako požadavky.bicep.

   param location string = resourceGroup().location
   param identityName string = 'identity-for-nginx-sns'
   
   
   resource managedIdentity 'Microsoft.ManagedIdentity/userAssignedIdentities@2018-11-30' = {
     name: identityName
     location: location
   }
   output managedIdentityId string = managedIdentity.id
   

2. Spuštěním následujícího příkazu spusťte nasazení spravované identity přiřazené uživatelem.

   az deployment group create --name prerequisites --resource-group ${resourceGroup}  --template-file prerequisites.bicep
   

3. Skript vytvoří spravovanou identitu.

Načtení ID prostředku pro spravovanou identitu

1. Spuštěním následujícího příkazu vyhledejte ID prostředku vytvořené spravované identity.

   az deployment group list -g ${resourceGroup} | jq -r --arg Deployment prerequisites '.[] | select(.name == $Deployment).properties.outputs.managedIdentityId.value'
   

2. Zkopírujte a uložte výstup, což je identita prostředku. Tento výstup potřebujete při vytváření síťové služby lokality.

Aktualizace oprávnění služby SNS (Site Network Service)

K provedení těchto úloh potřebujete roli Vlastník nebo Uživatelský přístup Správa istrator v operátoru i ve skupinách prostředků vydavatele definice síťové funkce. V předchozích úkolech jste vytvořili skupinu prostředků operátora. Skupina prostředků Publisheru definice síťové funkce byla vytvořena v rychlém startu: Publikujte kontejner Nginx jako kontejnerovou síťovou funkci (CNF) a v souboru input.json pojmenujte nginx-publisher-rg.

V předchozích krocích jste v referenční skupině prostředků vytvořili spravovanou identitu s názvem identity for-nginx-sns. Tato identita hraje zásadní roli při nasazování služby SNS (Site Network Service). Postupujte podle kroků v dalších částech a udělte identitě roli Přispěvatel nad skupinou prostředků vydavatele a rolí Operátor spravované identity. Prostřednictvím této identity dosáhne síťová služba lokality (SNS) požadovaná oprávnění.

Udělení role přispěvatele skupině prostředků vydavatele spravované identitě

1. Přejděte na web Azure Portal a otevřete skupinu prostředků vydavatele vytvořenou při publikování definice síťové funkce.

2. V boční nabídce skupiny prostředků vyberte Řízení přístupu (IAM).

3. Zvolte Přidat přiřazení role.

   

4. V části Role privilegovaného správce vyberte kategorii Přispěvatel a pokračujte dalším.

   

5. Vyberte Spravovaná identita.

6. Zvolte + Vybrat členy a pak vyhledejte a zvolte identitu spravovanou identitu přiřazenou uživatelem pro-nginx-sns.

   

Udělení role Přispěvatel nad vlastním umístěním spravované identitě

1. Přejděte na web Azure Portal a otevřete skupinu prostředků operátora, operátor-rg.

2. V boční nabídce skupiny prostředků vyberte Řízení přístupu (IAM).

3. Zvolte Přidat přiřazení role.

   

4. V části Role privilegovaného správce vyberte kategorii Přispěvatel a pokračujte dalším.

   

5. Vyberte Spravovaná identita.

6. Zvolte + Vybrat členy a pak vyhledejte a zvolte identitu spravovanou identitu přiřazenou uživatelem pro-nginx-sns.

   

Udělení role operátora spravované identity sobě

1. Přejděte na web Azure Portal a vyhledejte spravované identity.

2. Ze seznamu spravovaných identit vyberte identity for-nginx-sns.

3. V boční nabídce vyberte Řízení přístupu (IAM).

4. Zvolte Přidat přiřazení role.

   

5. Vyberte roli Operátor spravované identity a pokračujte dalším.

   

6. Vyberte Spravovaná identita.

7. Vyberte a vyberte členy a přejděte na spravovanou identitu přiřazenou uživatelem s názvem identity-for-nginx-sns a pokračujte s přiřazením.

   

8. Vyberte Zkontrolovat a přiřadit.

Dokončení všech úkolů uvedených v těchto článcích zajistí, že síťová služba lokality (SNS) má potřebná oprávnění k efektivnímu fungování v rámci zadaného prostředí Azure.

Další kroky

• Rychlý start: Vytvoření kontejnerizované síťové funkce (CNF) pomocí Nginx