Verbinden Sie einen Azure Kubernetes Service-Cluster mit Azure Arc

Gilt für: AKS unter Windows Server

Wenn ein Azure Kubernetes Service (AKS) Cluster mit Azure Arc verbunden wird, erhält er eine Azure Resource Manager Darstellung. Cluster sind an Azure-Standardabonnements angefügt, befinden sich in einer Ressourcengruppe und können wie jede andere Azure-Ressource Tags erhalten. Auch die Kubernetes-Darstellung ermöglicht es Ihnen, die folgenden Funktionen auf Ihren Kubernetes-Cluster zu erweitern:

• Verwaltungsdienste: Konfigurationen (GitOps), Azure Monitor für Container, Azure Policy (Gatekeeper).
• Datendienste: SQL Managed Instance, PostgreSQL Hyperscale.
• Anwendungsdienste: App-Dienste, Funktionen, Ereignisraster, Logik-Apps, API-Verwaltung.

Um einen Kubernetes-Cluster mit Azure zu verbinden, muss der Cluster-Administrator Agenten bereitstellen. Diese Agenten werden in einem Kubernetes-Namespace namens azure-arc ausgeführt und sind standardmäßige Kubernetes-Bereitstellungen. Die Agenten sind für die Konnektivität zu Azure, das Sammeln von Azure Arc-Protokollen und Metriken sowie die Aktivierung der zuvor erwähnten Szenarien auf dem Cluster zuständig.

AKS unterstützt den Industriestandard SSL zur Sicherung von Daten bei der Übertragung. Die Daten werden außerdem im Ruhezustand verschlüsselt in einer Azure Cosmos DB-Datenbank gespeichert, um ihre Vertraulichkeit zu gewährleisten.

Die folgenden Schritte beschreiben, wie Sie AKS-Cluster mit Azure Arc in AKS auf Windows Server verbinden. Sie können diese Schritte überspringen, wenn Sie Ihren Kubernetes-Cluster bereits über das Windows Admin Center mit Azure Arc verbunden haben.

Voraussetzungen

Vergewissern Sie sich, dass Sie die folgenden Anforderungen erfüllen:

• Ein AKS-Cluster mit mindestens einem Linux-Arbeitsknoten, der betriebsbereit ist.
• Installieren Sie das AksHci PowerShell-Modul.
• Die folgende Zugriffsstufe auf Ihr Azure-Abonnement:
  • Ein Benutzerkonto mit der integrierten Rolle Besitzer. Sie können Ihre Zugriffsstufe überprüfen, indem Sie zu Ihrem Abonnement navigieren, auf der linken Seite des Azure-Portals "Zugriffskontrolle (IAM)" auswählen und dann auf Meinen Zugriff anzeigenklicken.
  • Ein Dienstprinzipal mit der eingebauten Rolle Owner .
• Führen Sie die Befehle in diesem Artikel in einem PowerShell-Verwaltungsfenster aus.
• Stellen Sie sicher, dass Sie die Netzwerkanforderungen der AKSerfüllen.

Schritt 1: Anmelden bei Azure

Um sich bei Azure anzumelden, führen Sie den PowerShell-Befehl Connect-AzAccount aus:

Connect-AzAccount $tenantId

Wenn Sie zu einem anderen Abonnement wechseln möchten, führen Sie den PowerShell-Befehl Set-AzContext aus:

Set-AzContext -Subscription $subscriptionId

Schritt 2: Registrieren Sie die beiden Anbieter für AKS

Sie können diesen Schritt überspringen, wenn Sie die beiden Anbieter für AKS bereits in Ihrem Abonnement registriert haben. Die Registrierung ist ein asynchroner Prozess und muss einmal pro Abonnement erfolgen. Die Registrierung kann etwa 10 Minuten dauern:

Register-AzResourceProvider -ProviderNamespace Microsoft.Kubernetes
Register-AzResourceProvider -ProviderNamespace Microsoft.KubernetesConfiguration
Register-AzResourceProvider -ProviderNamespace Microsoft.ExtendedLocation

Sie können mit den folgenden Befehlen überprüfen, ob Sie registriert sind:

Get-AzResourceProvider -ProviderNamespace Microsoft.Kubernetes
Get-AzResourceProvider -ProviderNamespace Microsoft.KubernetesConfiguration
Get-AzResourceProvider -ProviderNamespace Microsoft.ExtendedLocation

Schritt 3: Herstellen einer Verbindung mit Azure Arc mithilfe des AKS-HCI-PowerShell-Moduls

Verbinden Sie Ihren AKS-Cluster mit Kubernetes mit dem PowerShell-Befehl Enable-AksHciArcConnection . In diesem Schritt werden Azure Arc-Agenten für Kubernetes im Namespace azure-arc bereitgestellt:

Enable-AksHciArcConnection -name $clusterName 

Verbinden Sie Ihren AKS-Cluster mit Azure Arc über einen Service Principal

Wenn Sie keinen Zugriff auf ein Abonnement haben, bei dem Sie Eigentümer sind, können Sie Ihren AKS-Cluster über einen Service Principalmit Azure Arc verbinden.

Der erste Befehl fordert zur Eingabe von Dienstprinzipal-Anmeldeinformationen auf und speichert sie in der $Credential Variable. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Anwendungs-ID als Benutzernamen ein und verwenden Sie das Geheimnis des Prinziplas als Kennwort. Stellen Sie sicher, dass Sie diese Werte von Ihrem Abonnementadmin erhalten. Der zweite Befehl verbindet Ihren Cluster mit Azure Arc unter Verwendung der in der Variable $Credential gespeicherten Zugangsdaten für den Dienst:

$Credential = Get-Credential
Enable-AksHciArcConnection -name $clusterName -subscriptionId $subscriptionId -resourceGroup $resourceGroup -credential $Credential -tenantId $tenantId -location $location

Vergewissern Sie sich, dass dem in diesem Befehl verwendeten Dienstprinzipal die Rolle Eigentümer zugewiesen ist und dass er über den Geltungsbereich der im Befehl verwendeten Abonnement-ID verfügt. Weitere Informationen über Dienstprinzipale finden Sie unter Erstellen eines Dienstprinzips mit Azure PowerShell.

Verbinden Sie Ihren AKS-Cluster mit Azure Arc und aktivieren Sie benutzerdefinierte Standorte

Wenn Sie benutzerdefinierte Standorte auf Ihrem Cluster zusammen mit Azure Arc aktivieren möchten, führen Sie den folgenden Befehl aus, um die Objekt-ID der benutzerdefinierten Standortanwendung abzurufen, und verbinden Sie sich dann mit Azure Arc über einen Service Principal:

$objectID = (Get-AzADServicePrincipal -ApplicationId "00001111-aaaa-2222-bbbb-3333cccc4444").Id
Enable-AksHciArcConnection -name $clusterName -subscriptionId $subscriptionId -resourceGroup $resourceGroup -credential $Credential -tenantId $tenantId -location -customLocationsOid $objectID

Überprüfen des verbundenen Clusters

Sie können Ihre Kubernetes-Clusterressource im Azure-Portal anzeigen. Sobald Sie das Portal in Ihrem Browser geöffnet haben, navigieren Sie zu der Ressourcengruppe und der AKS-Ressource, die auf den Eingaben für den Ressourcennamen und den Namen der Ressourcengruppe basiert, die im PowerShell-Befehl enable-akshciarcconnection verwendet wurden.

Hinweis

Nachdem Sie den Cluster verbunden haben, kann es maximal fünf bis zehn Minuten dauern, bis die Cluster-Metadaten (Cluster-Version, Agent-Version, Anzahl der Knoten) auf der Übersichtsseite der AKS-Ressource im Azure-Portal erscheinen.

Azure Arc-Agents für Kubernetes

AKS setzt einige Operatoren im Namespace azure-arc ein. Sie können diese Einsätze und Pods mit kubectlanzeigen, wie im folgenden Beispiel gezeigt:

kubectl -n azure-arc get deployments,pods

AKS besteht aus einigen Agenten (Operatoren), die in Ihrem Cluster laufen und im Namespace azure-arc eingesetzt werden. Weitere Informationen über diese Mittel finden Sie in dieser Übersicht.

Trennen Sie Ihren AKS-Cluster von Azure Arc

Wenn Sie die Verbindung zwischen Ihrem Cluster und AKS trennen möchten, führen Sie den PowerShell-Befehl Disable-AksHciArcConnection aus. Stellen Sie sicher, dass Sie sich bei Azure anmelden, bevor Sie den Befehl ausführen:

Disable-AksHciArcConnection -Name $clusterName

Nächste Schritte

• Verwenden Sie GitOps zur Bereitstellung von Konfigurationen
• Aktivieren Sie Azure Monitor zum Sammeln von Metriken und Protokollen
• Aktivieren Sie das Azure Policy Add-on, um die Zugriffssteuerung durchzusetzen