Sdílet prostřednictvím

Jak používat service Připojení or ve službě Azure Kubernetes Service (AKS)

  • Článek

Azure Kubernetes Service (AKS) je jednou z výpočetních služeb podporovaných službou Service Připojení or. Cílem tohoto článku je pomoct pochopit:

  • Jaké operace se provádí v clusteru při vytváření připojení služby.
  • Jak používat prostředky Kubernetes Service Připojení or vytvoří.
  • Řešení potíží a zobrazení protokolů služby Připojení or v clusteru AKS

Požadavky

Jaké operace služba Připojení or dělá v clusteru

V závislosti na různých cílových službách a typech ověřování vybraných při vytváření připojení služby služba služba Připojení or provádí různé operace v clusteru AKS. Následující seznam uvádí možné operace provedené službou Service Připojení or.

Přidání rozšíření Kubernetes pro službu Připojení or

Do clusteru se při prvním vytvoření připojení služby přidá rozšíření Kubernetes s názvem sc-extension . Později rozšíření pomáhá vytvářet prostředky Kubernetes v clusteru uživatele při každém přijetí žádosti o připojení služby do služby Připojení oru. Rozšíření najdete v clusteru AKS na webu Azure Portal v nabídce Rozšíření a aplikace .

Snímek obrazovky webu Azure Portal a zobrazení rozšíření AKS

Rozšíření je také místo, kde jsou uložena metadata připojení clusteru. Odinstalace rozšíření znepřístupňuje všechna připojení v clusteru. Operátor rozšíření je hostovaný v oboru názvů sc-systemclusteru .

Vytváření prostředků Kubernetes

Service Připojení or vytvoří některé prostředky Kubernetes do oboru názvů, který uživatel zadal při vytváření připojení služby. Prostředky Kubernetes ukládají informace o připojení, které vyžadují definice úloh uživatele nebo kód aplikace pro komunikaci s cílovými službami. V závislosti na různých typech ověřování se vytvoří různé prostředky Kubernetes. Connection String Pro typy ověřování a Service Principal typy ověřování se vytvoří tajný klíč Kubernetes. Workload Identity Pro typ ověřování se kromě tajného kódu Kubernetes vytvoří také účet služby Kubernetes.

Prostředky Kubernetes vytvořené službou service Připojení or pro každé připojení služby najdete na webu Azure Portal v prostředku kubernetes v nabídce Připojení or služby.

Snímek obrazovky webu Azure Portal a zobrazením služby Připojení us vytvořených prostředků Kubernetes

Odstranění připojení služby neodstraní přidružený prostředek Kubernetes. V případě potřeby odeberte prostředek ručně, například příkaz kubectl delete.

Povolení doplňku azureKeyvaultSecretsProvider

Pokud je cílová služba Azure Key Vault a ovladač CSI úložiště tajných kódů je při vytváření připojení služby povolený, povolí azureKeyvaultSecretsProvider doplněk pro cluster Připojení or.

Snímek obrazovky webu Azure Portal s povolením ovladače CSI pro keyvault při vytváření připojení

Postupujte podle Připojení ke službě Azure Key Vault pomocí kurzuovladače CSI a nastavte připojení ke službě Azure Key Vault pomocí ovladače CSI služby Secret Store.

Povolení vystavitele identity úloh a OpenID Připojení (OIDC)

Pokud je Workload Identity typ ověřování při vytváření připojení služby, služba Připojení or povolí identitu úloh a vystavitele OIDC pro cluster.

Snímek obrazovky webu Azure Portal s použitím identity úlohy k vytvoření připojení

Pokud je Workload Identitytyp ověřování , je potřeba spravovaná identita přiřazená uživatelem k vytvoření přihlašovacích údajů federované identity. Přečtěte si další informace o identitách úloh nebo si podle kurzunastavte připojení ke službě Azure Storage pomocí identity úloh.

Jak používat službu Připojení or vytvořené prostředky Kubernetes

Různé prostředky Kubernetes se vytvoří, když se liší typ cílové služby a typ ověřování. Následující části ukazují, jak používat službu Připojení or vytvořené prostředky Kubernetes v definici úloh clusteru a kódech aplikací.

Tajný kód Kubernetes

Tajný klíč Kubernetes se vytvoří, když je Connection String typ ověřování nebo Service Principal. Definice úlohy clusteru může odkazovat přímo na tajný klíč. Následující snnipet je příkladem.

apiVersion: batch/v1
kind: Job
metadata:
  namespace: default
  name: sc-sample-job
spec:
  template:
    spec:
      containers:
      - name: raw-linux
        image: alpine
        command: ['printenv']
        envFrom:
          - secretRef:
              name: <SecretCreatedByServiceConnector>
      restartPolicy: OnFailure

Kódy aplikací pak můžou využívat připojovací řetězec v tajném kódu z proměnné prostředí. V ukázkovém kódu se dozvíte více o názvech proměnných prostředí a o tom, jak je použít v kódech aplikace k ověření v různých cílových službách.

Účet služby Kubernetes

Účet služby Kubernetes i tajný klíč se vytvoří, když je Workload Identitytyp ověřování . Definice úlohy clusteru může odkazovat na účet služby a tajný klíč k ověření prostřednictvím identity úlohy. Následující snipet poskytuje příklad.

apiVersion: batch/v1
kind: Job
metadata:
  namespace: default
  name: sc-sample-job
  labels:
    azure.workload.identity/use: "true"
spec:
  template:
    spec:
      serviceAccountName: <ServiceAccountCreatedByServiceConnector>
      containers:
      - name: raw-linux
        image: alpine
        command: ['printenv']
        envFrom:
          - secretRef:
              name: <SecretCreatedByServiceConnector>
      restartPolicy: OnFailure

V tomto kurzu se dozvíte, jak se připojit ke službě Azure Storage pomocí identity úloh.

Řešení potíží a zobrazení protokolů

Pokud dojde k chybě a nejde ji zmírnit opakovaným pokusem při vytváření připojení služby, můžou vám shromáždět další informace o řešení potíží následující metody.

Kontrola rozšíření Kubernetes pro Připojení služby

Rozšíření Kubernetes Připojení or služby je postavené na rozšířeních clusteru Kubernetes s podporou Azure Arc. Pomocí následujících příkazů můžete zjistit, jestli během instalace nebo aktualizace rozšíření nedošlo k nějakým chybám.

  1. k8s-extension Nainstalujte rozšíření Azure CLI.
az extension add --name k8s-extension
  1. Získejte stav rozšíření service Připojení or. statuses Zkontrolujte vlastnost ve výstupu příkazu a zjistěte, jestli nedošlo k nějakým chybám.
az k8s-extension show \
    --resource-group MyClusterResourceGroup \
    --cluster-name MyCluster \
    --cluster-type managedClusters \
    --name sc-extension

Kontrola protokolů clusteru Kubernetes

Pokud během instalace rozšíření dojde k chybě a chybová zpráva ve statuses vlastnosti neposkytuje dostatek informací o tom, co se stalo, můžete protokoly Kubernetes dále zkontrolovat pomocí následujících kroků.

  1. Připojení do clusteru AKS.

    az aks get-credentials \
    --resource-group MyClusterResourceGroup \
    --name MyCluster

  2. Rozšíření Připojení or služby je nainstalované v oboru názvů sc-system prostřednictvím chartu Helm, zkontrolujte obor názvů a verzi helmu pomocí následujících příkazů.

    • Zkontrolujte, jestli obor názvů existuje.
    kubectl get ns
    • Zkontrolujte stav verze Helmu.
    helm list -n sc-system

  3. Během instalace nebo aktualizace rozšíření vytvoří úloha Kubernetes prostředky sc-job kubernetes pro připojení služby. Selhání spuštění úlohy obvykle způsobuje selhání rozšíření. Spuštěním následujících příkazů zkontrolujte stav úlohy. Pokud sc-job v sc-system oboru názvů neexistuje, měl by být úspěšně proveden. Tato úloha je navržená tak, aby se po úspěšném spuštění automaticky odstranila.

    • Zkontrolujte, jestli úloha existuje.
    kubectl get job -n sc-system
    • Získejte stav úlohy.
    kubectl describe job/sc-job -n sc-system
    • Prohlédněte si protokoly úloh.
    kubectl logs job/sc-job -n sc-system

Další kroky

Zjistěte, jak integrovat různé cílové služby a přečíst si o jejich nastavení konfigurace a metodách ověřování.

Informace o integraci objektu blob úložiště