Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für ✔️ Flottenmanager mit Hubcluster
Dieser Artikel enthält eine konzeptionelle Übersicht über die verwalteten Flottennamespaces von Azure Kubernetes Fleet Manager, die eine zentral verwaltete Multi-Cluster-Mandantenlösung bereitstellen.
Von Bedeutung
Azure Kubernetes Fleet Manager Preview-Features sind auf Self-Service-, Opt-In-Basis verfügbar. Vorschauversionen werden „im Istzustand“ und „wie verfügbar“ bereitgestellt und sind von den Service Level Agreements und der eingeschränkten Garantie ausgeschlossen. Azure Kubernetes Fleet Manager Previews werden teilweise vom Kundensupport auf Best-Effort-Basis abgedeckt. Daher sind diese Funktionen nicht für die Verwendung in der Produktion vorgesehen.
Was sind Managed Fleet Namespaces?
Wenn verwaltete Flottennamespaces auf Zielmitgliedsclustern bereitgestellt werden, können Plattformadministratoren damit Ressourcenkontingente, Netzwerkrichtlinien, Bezeichnungen, Anmerkungen und Zugriffssteuerung für Namespaceressourcen in jedem Cluster anwenden. Verwaltete Flottennamespaces erweitern die Funktion von Managed Kubernetes Namespace, die eine Möglichkeit bieten, Workloads innerhalb eines einzelnen AKS-Clusters logisch zu isolieren.
Verwaltete Flottennamespaces verwenden eine generierte, schreibgeschützte Clusterressourcen-Platzierung (CRP) des Flottenmanagers, um den zentral definierten Namespace an ausgewählte Mitgliedscluster zu verteilen.
Beim Erstellen eines Flottenverwalteten Namespace können Sie auch folgendes steuern:
- Einführungsrichtlinie: Definiert, wie Konflikte gelöst werden, wenn ein verwalteter Flottennamespace auf einem Mitgliedscluster platziert wird, in dem ein nicht verwalteter Namespace oder ein Managed Kubernetes-Namespace mit demselben Namen vorhanden sind.
- Löschrichtlinie: Definiert, ob Kubernetes-Ressourcen beim Löschen des verwalteten Flotten-Namespaces als Azure-Ressource gelöscht werden.
Festlegen von Ressourcenkontingenten
Plattformadministratoren können Ressourcenkontingente verwenden, um die CPU- und Arbeitsspeicherauslastung auf Namespaceebene zu erhöhen. Ohne Angabe wird kein Ressourcenkontingent auf den Namespace angewendet.
- CPU-Anforderungen und -Grenzwerte: Legen Sie die minimalen und maximalen CPU-Ressourcen fest, die Workloads im Namespace anfordern oder verbrauchen können.
- Speicheranforderungen und Grenzwerte: Legen Sie die minimalen und maximalen Speicherressourcen fest, die Workloads im Namespace anfordern oder verbrauchen können.
Hinweis
Die für einen Namespace festgelegten Kontingente werden auf jeden einzelnen Mitgliedscluster unabhängig angewendet und nicht auf alle Cluster gemeinsam, die den Namespace ausführen.
Festlegen von Netzwerkrichtlinien
Netzwerkrichtlinien steuern den zulässigen Datenverkehr für Pods innerhalb eines Namespaces. Sie können unabhängig eine von drei eingebauten Netzwerkrichtlinien für den eingehenden und ausgehenden Datenverkehr auswählen. Ohne Angabe wird keine Netzwerkrichtlinie auf den Namespace angewendet.
Netzwerkrichtlinien werden auf jeden Cluster einzeln angewendet und steuern keinen clusterübergreifenden Netzwerkdatenverkehr für den Namespace. Jeder Mitgliedscluster setzt seine eigene Netzwerkrichtlinie unabhängig innerhalb seiner lokalen Namespace-Instanz durch. Zu den Netzwerkrichtlinien gehören:
- Alle zulassen: Zulassen des gesamten Netzwerkdatenverkehrs, einschließlich des Datenverkehrs zwischen Pods und externen Endpunkten.
- Denselben Namespace zulassen: Zulassen des gesamten Netzwerkdatenverkehrs zwischen Pods innerhalb desselben Namespaces.
- Alles ablehnen: Jeglichen Netzwerkdatenverkehr ablehnen, einschließlich des Datenverkehrs zwischen Pods und externen Endpunkten.
Hinweis
Verwaltete Flottennamespaces legen Standardnetzwerkrichtlinien fest, aber Namespacebenutzer mit ausreichenden Berechtigungen können zusätzliche Richtlinien hinzufügen, die die allgemeine Netzwerkrichtlinie für den Namespace entspannen. Dieses Verhalten entspricht dem standardmäßigen additiven Verhalten von Kubernetes-Netzwerkrichtlinien.
Beschriftungen und Anmerkungen
Sie können sowohl Kubernetes-Bezeichnungen als auch Anmerkungen auf den Managed Fleet-Namespace anwenden. Standardmäßig verfügt jeder verwaltete Namespace über eine integrierte Bezeichnung, die angibt, dass er von ARM verwaltet wird.
Einführungsrichtlinie
Wenn ein verwalteter Flotten-Namespace erstellt wird, legt die Adoptionsrichtlinie fest, wie vorhandene nicht verwaltete oder verwaltete Kubernetes-Namespaces behandelt werden, falls sie im Zielcluster bereits existieren. Die folgenden Optionen sind verfügbar:
- Never: Die Erstellung verwalteter Namensräume schlägt fehl, wenn bereits ein Namensraum mit demselben Namen im Cluster existiert.
- IfIdentical: Die Erstellung verwalteter Namespaces schlägt fehl, wenn ein Namespace mit demselben Namen bereits im Cluster vorhanden ist, es sei denn, die Namespaces sind identisch. Wenn die Namespaces identisch sind, übernimmt Fleet Manager den vorhandenen Namespace, der verwaltet werden soll.
- Immer: Der verwaltete Namespace übernimmt immer den vorhandenen Namespace, auch wenn einige Ressourcen im Namespace überschrieben werden.
Während der Einführung kann ein verwalteter Flottennamespace Felder eines vorhandenen Namespaces in einem Mitgliedscluster übernehmen, aber er entfernt keine Ressourcen aus dem Namespace.
Löschen von Richtlinien
Die Löschrichtlinie steuert, wie der Kubernetes-Namespace behandelt wird, wenn die Azure-Ressource des verwalteten Flottennamespaces gelöscht wird. Es gibt zwei integrierte Optionen:
-
Keep: Lässt den Kubernetes-Namespace intakt auf Mitglieds-Cluster, entfernt jedoch das
ManagedByARMLabel. - Löschen: Entfernt den Kubernetes-Namespace und alle darin enthaltenen Ressourcen aus Memberclustern.
Warnung
Eine Löschrichtlinie " Delete " entfernt die Kubernetes-Namespaceressource und die darin enthaltenen Ressourcen vollständig aus den Zielelementclustern, auch wenn sie zuvor vorhanden und vom Managed Fleet-Namespace übernommen wurde.
Integrierte Rollen des verwalteten Fleet-Namespace
Verwaltete Flottennamespaces verwenden vorhandene Azure Role Based Access Control (RBAC) Azure Resource Manager-Rollen zum Verwalten und Zugreifen auf verwaltete Namespaces. Die vorhandenen Kubernetes-Datenebenenrollen werden angewendet, um mit der verwalteten Flottennamespace-Instanz zu interagieren, die auf dem Fleet Manager-Hubcluster erstellt wurde.
Von Bedeutung
Wenn Sie RBAC-Rollen im Bereich "Managed Fleet Namespace" zuweisen, wird der Zugriff auf alle nicht verwalteten Kubernetes-Namespaces in Memberclustern mit demselben Namen gewährt.
Um den Zugriff auf einen verwalteten Flottennamespace zu steuern, verwenden Sie die folgenden integrierten Rollen, die im Namespacebereich angewendet werden können:
| Rolle | Description |
|---|---|
| Azure Kubernetes Fleet Manager RBAC Reader für Mitgliedscluster | • Schreibgeschützter Zugriff auf die meisten Objekte im Namenspace des Mitgliedsclusters. • Rollen- oder Rollenbindungen können nicht angezeigt werden. • Geheime Schlüssel können nicht angezeigt werden (verhindert die Eskalation von Berechtigungen über ServiceAccount Anmeldeinformationen). |
| Azure Kubernetes Fleet Manager RBAC-Schreiber für Mitgliedscluster | • Lese- und Schreibzugriff auf die meisten Kubernetes-Ressourcen im Namespace. • Rollen oder Rollenbindungen können nicht angezeigt oder geändert werden. • Kann geheime Schlüssel lesen (und kann jedes ServiceAccount im Namespace annehmen). |
| Azure Kubernetes-Flottenmanager RBAC-Admin für Mitgliedscluster | • Lese- und Schreibzugriff auf Kubernetes-Ressourcen im Namespace im Mitglieds-Cluster. |
| Azure Kubernetes Fleet Manager RBAC-Cluster-Admin für Mitgliedscluster | • Vollständiger Lese-/Schreibzugriff auf alle Kubernetes-Ressourcen im Membercluster. |
Beispielsweise müsste ein Entwickler in team-A, der den Namespace "Managed Fleet" verwendet, Kubernetes-Ressourcen im Fleet Manager-Hubcluster-Namespace lesen und schreiben. Der Entwickler müsste auch Kubernetes-Objekte im team-A-Namespace auf den Memberclustern lesen, auf denen sie vorhanden sind. Daher würde der Plattformadministrator ihnen Azure Kubernetes Fleet Manager RBAC Writer im Flottenbereich und Azure Kubernetes Fleet Manager RBAC Reader für Member Clusters im Bereich Managed Fleet Namespace für diese jeweiligen Anforderungen zuweisen.
Während der Vorschau werden Zugriffssteuerungen für benutzerdefinierte Kubernetes-Ressourcen (Custom Resources, CRs) für diese Rollen nicht unterstützt.
Nächste Schritte
- Erfahren Sie, wie Sie einen Managed Fleet-Namespace erstellen und verwenden.
- Erfahren Sie, wie Sie verwaltete Flottennamespaces anzeigen und darauf zugreifen, auf die Sie Zugriff haben