Jak používat service Připojení or ve službě Azure Kubernetes Service (AKS)
Azure Kubernetes Service (AKS) je jednou z výpočetních služeb podporovaných službou Service Připojení or. Cílem tohoto článku je pomoct pochopit:
- Jaké operace se provádí v clusteru při vytváření připojení služby.
- Jak používat prostředky Kubernetes Service Připojení or vytvoří.
- Řešení potíží a zobrazení protokolů služby Připojení or v clusteru AKS
Požadavky
- Tato příručka předpokládá, že už znáte základní koncepty služby Připojení or.
Jaké operace služba Připojení or dělá v clusteru
V závislosti na různých cílových službách a typech ověřování vybraných při vytváření připojení služby služba služba Připojení or provádí různé operace v clusteru AKS. Následující seznam uvádí možné operace provedené službou Service Připojení or.
Přidání rozšíření Kubernetes pro službu Připojení or
Do clusteru se při prvním vytvoření připojení služby přidá rozšíření Kubernetes s názvem sc-extension
. Později rozšíření pomáhá vytvářet prostředky Kubernetes v clusteru uživatele při každém přijetí žádosti o připojení služby do služby Připojení oru. Rozšíření najdete v clusteru AKS na webu Azure Portal v nabídce Rozšíření a aplikace .
Rozšíření je také místo, kde jsou uložena metadata připojení clusteru. Odinstalace rozšíření znepřístupňuje všechna připojení v clusteru. Operátor rozšíření je hostovaný v oboru názvů sc-system
clusteru .
Vytváření prostředků Kubernetes
Service Připojení or vytvoří některé prostředky Kubernetes do oboru názvů, který uživatel zadal při vytváření připojení služby. Prostředky Kubernetes ukládají informace o připojení, které vyžadují definice úloh uživatele nebo kód aplikace pro komunikaci s cílovými službami. V závislosti na různých typech ověřování se vytvoří různé prostředky Kubernetes. Connection String
Pro typy ověřování a Service Principal
typy ověřování se vytvoří tajný klíč Kubernetes. Workload Identity
Pro typ ověřování se kromě tajného kódu Kubernetes vytvoří také účet služby Kubernetes.
Prostředky Kubernetes vytvořené službou service Připojení or pro každé připojení služby najdete na webu Azure Portal v prostředku kubernetes v nabídce Připojení or služby.
Odstranění připojení služby neodstraní přidružený prostředek Kubernetes. V případě potřeby odeberte prostředek ručně, například příkaz kubectl delete.
Povolení doplňku azureKeyvaultSecretsProvider
Pokud je cílová služba Azure Key Vault a ovladač CSI úložiště tajných kódů je při vytváření připojení služby povolený, povolí azureKeyvaultSecretsProvider
doplněk pro cluster Připojení or.
Postupujte podle Připojení ke službě Azure Key Vault pomocí kurzuovladače CSI a nastavte připojení ke službě Azure Key Vault pomocí ovladače CSI služby Secret Store.
Povolení vystavitele identity úloh a OpenID Připojení (OIDC)
Pokud je Workload Identity
typ ověřování při vytváření připojení služby, služba Připojení or povolí identitu úloh a vystavitele OIDC pro cluster.
Pokud je Workload Identity
typ ověřování , je potřeba spravovaná identita přiřazená uživatelem k vytvoření přihlašovacích údajů federované identity. Přečtěte si další informace o identitách úloh nebo si podle kurzunastavte připojení ke službě Azure Storage pomocí identity úloh.
Jak používat službu Připojení or vytvořené prostředky Kubernetes
Různé prostředky Kubernetes se vytvoří, když se liší typ cílové služby a typ ověřování. Následující části ukazují, jak používat službu Připojení or vytvořené prostředky Kubernetes v definici úloh clusteru a kódech aplikací.
Tajný kód Kubernetes
Tajný klíč Kubernetes se vytvoří, když je Connection String
typ ověřování nebo Service Principal
. Definice úlohy clusteru může odkazovat přímo na tajný klíč. Následující snnipet je příkladem.
apiVersion: batch/v1
kind: Job
metadata:
namespace: default
name: sc-sample-job
spec:
template:
spec:
containers:
- name: raw-linux
image: alpine
command: ['printenv']
envFrom:
- secretRef:
name: <SecretCreatedByServiceConnector>
restartPolicy: OnFailure
Kódy aplikací pak můžou využívat připojovací řetězec v tajném kódu z proměnné prostředí. V ukázkovém kódu se dozvíte více o názvech proměnných prostředí a o tom, jak je použít v kódech aplikace k ověření v různých cílových službách.
Účet služby Kubernetes
Účet služby Kubernetes i tajný klíč se vytvoří, když je Workload Identity
typ ověřování . Definice úlohy clusteru může odkazovat na účet služby a tajný klíč k ověření prostřednictvím identity úlohy. Následující snipet poskytuje příklad.
apiVersion: batch/v1
kind: Job
metadata:
namespace: default
name: sc-sample-job
labels:
azure.workload.identity/use: "true"
spec:
template:
spec:
serviceAccountName: <ServiceAccountCreatedByServiceConnector>
containers:
- name: raw-linux
image: alpine
command: ['printenv']
envFrom:
- secretRef:
name: <SecretCreatedByServiceConnector>
restartPolicy: OnFailure
V tomto kurzu se dozvíte, jak se připojit ke službě Azure Storage pomocí identity úloh.
Řešení potíží a zobrazení protokolů
Pokud dojde k chybě a nejde ji zmírnit opakovaným pokusem při vytváření připojení služby, můžou vám shromáždět další informace o řešení potíží následující metody.
Kontrola rozšíření Kubernetes pro Připojení služby
Rozšíření Kubernetes Připojení or služby je postavené na rozšířeních clusteru Kubernetes s podporou Azure Arc. Pomocí následujících příkazů můžete zjistit, jestli během instalace nebo aktualizace rozšíření nedošlo k nějakým chybám.
k8s-extension
Nainstalujte rozšíření Azure CLI.
az extension add --name k8s-extension
- Získejte stav rozšíření service Připojení or.
statuses
Zkontrolujte vlastnost ve výstupu příkazu a zjistěte, jestli nedošlo k nějakým chybám.
az k8s-extension show \
--resource-group MyClusterResourceGroup \
--cluster-name MyCluster \
--cluster-type managedClusters \
--name sc-extension
Kontrola protokolů clusteru Kubernetes
Pokud během instalace rozšíření dojde k chybě a chybová zpráva ve statuses
vlastnosti neposkytuje dostatek informací o tom, co se stalo, můžete protokoly Kubernetes dále zkontrolovat pomocí následujících kroků.
Připojení do clusteru AKS.
az aks get-credentials \ --resource-group MyClusterResourceGroup \ --name MyCluster
Rozšíření Připojení or služby je nainstalované v oboru názvů
sc-system
prostřednictvím chartu Helm, zkontrolujte obor názvů a verzi helmu pomocí následujících příkazů.- Zkontrolujte, jestli obor názvů existuje.
kubectl get ns
- Zkontrolujte stav verze Helmu.
helm list -n sc-system
Během instalace nebo aktualizace rozšíření vytvoří úloha Kubernetes prostředky
sc-job
kubernetes pro připojení služby. Selhání spuštění úlohy obvykle způsobuje selhání rozšíření. Spuštěním následujících příkazů zkontrolujte stav úlohy. Pokudsc-job
vsc-system
oboru názvů neexistuje, měl by být úspěšně proveden. Tato úloha je navržená tak, aby se po úspěšném spuštění automaticky odstranila.- Zkontrolujte, jestli úloha existuje.
kubectl get job -n sc-system
- Získejte stav úlohy.
kubectl describe job/sc-job -n sc-system
- Prohlédněte si protokoly úloh.
kubectl logs job/sc-job -n sc-system
Další kroky
Zjistěte, jak integrovat různé cílové služby a přečíst si o jejich nastavení konfigurace a metodách ověřování.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro