Inicio rápido: Creación de una conexión de servicio en el clúster de AKS con la CLI de Azure

En este inicio rápido se muestra cómo conectar Azure Kubernetes Service (AKS) a otros recursos en la nube mediante la CLI de Azure y un conector de servicio. Service Connector permite conectar con rapidez los servicios de proceso a los servicios en la nube, a la vez que administra la autenticación y la configuración de red de la conexión.

Si no tiene una suscripción a Azure, cree una cuenta gratuita de Azure antes de empezar.

Requisitos previos

• Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.

  

• Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.

  • Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.

  • En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.

  • Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

• Para realizar este inicio rápido es necesaria la versión 2.30.0 o posterior de la CLI de Azure. Si usa Azure Cloud Shell, ya está instalada la versión más reciente.
• En este inicio rápido se supone que ya tiene un clúster de AKS. Si no tiene ninguno, cree un clúster de AKS.
• En este tutorial se supone que ya tiene una cuenta de Azure Storage. Cree una cuenta de Azure Storage si no tiene una.

Configuración inicial

1. Si usa Service Connector por primera vez, empiece ejecutando el comando az provider register para registrar el los proveedores de recursos de Service Connector y Configuración de Kubernetes.

   az provider register -n Microsoft.ServiceLinker
   

   az provider register -n Microsoft.KubernetesConfiguration
   

   Sugerencia

   Es posible comprobar si estos proveedores de recursos ya se han registrado ejecutando los comandos az provider show -n "Microsoft.ServiceLinker" --query registrationState y az provider show -n "Microsoft.KubernetesConfiguration" --query registrationState.

2. Opcionalmente, use el comando de la CLI de Azure para obtener una lista de los servicios de destino admitidos para el clúster de AKS.

   az aks connection list-support-types --output table
   

Creación de una conexión de servicio

Uso de una identidad de carga de trabajo

Importante

El uso de la identidad administrada requiere que tenga el permiso para Asignación de roles de Microsoft Entra ID. Si no tiene el permiso, se producirá un error en la creación de la conexión. Puede pedir al propietario de la suscripción el permiso o usar una clave de acceso para crear la conexión.

Use el comando de la CLI de Azure para crear una conexión de servicio a Blob Storage con una identidad de carga de trabajo, proporcionando la siguiente información:

• Nombre del grupo de recursos del servicio de proceso de origen: el nombre del grupo de recursos del clúster de AKS.
• Nombre del clúster de AKS: el nombre del clúster de AKS que se conecta al servicio de destino.
• Nombre del grupo de recursos del servicio de destino: el nombre del grupo de recursos de la aplicación del almacenamiento de blobs.
• Nombre de cuenta de almacenamiento: el nombre de la cuenta de Blob Storage.
• Id. de recurso de la identidad asignada por el usuario: id. de recurso de la identidad asignada por el usuario que se usa para crear la identidad de carga de trabajo

az aks connection create storage-blob \
    --workload-identity <user-identity-resource-id>

Nota:

Si no tiene una instancia de Blob Storage, puede ejecutar az aks connection create storage-blob --new --workload-identity <user-identity-resource-id>" para aprovisionar una nueva y conectarse a la aplicación de funciones de inmediato.

Uso de una clave de acceso

Advertencia

Microsoft recomienda usar el flujo de autenticación más seguro disponible. El flujo de autenticación que se describe en este procedimiento requiere un alto grado de confianza en la aplicación y conlleva riesgos que no están presentes en otros flujos. Solo debe usar este flujo cuando otros flujos más seguros, como las identidades administradas, no sean viables.

Ejecute el siguiente comando de la CLI de Azure para crear una conexión de servicio a Azure Blob Storage con la clave de acceso, proporcionando la siguiente información.

az aks connection create storage-blob --secret

Proporcione la siguiente información como se le solicite:

• Nombre del grupo de recursos del servicio de proceso de origen: el nombre del grupo de recursos del clúster de AKS.
• Nombre del clúster de AKS: el nombre del clúster de AKS que se conecta al servicio de destino.
• Nombre del grupo de recursos del servicio de destino: el nombre del grupo de recursos de la aplicación del almacenamiento de blobs.
• Nombre de cuenta de almacenamiento: el nombre de la cuenta de Blob Storage.

Nota:

Si no tiene un almacenamiento de blobs, puede ejecutar az aks connection create storage-blob --new --secret para aprovisionar uno nuevo y conectarlo al clúster de AKS.

Ver conexiones

Use el comando az aks connection list de la CLI de Azure para mostrar conexiones al clúster de AKS, proporcionando la siguiente información:

• Nombre del grupo de recursos del servicio de proceso de origen: el nombre del grupo de recursos del clúster de AKS.
• Nombre del clúster de AKS: el nombre del clúster de AKS que se conecta al servicio de destino.

az aks connection list \
    -g "<your-aks-cluster-resource-group>" \
    -n "<your-aks-cluster-name>" \
    --output table

Pasos siguientes

Vaya a los siguientes tutoriales para empezar a conectar el clúster de AKS a los servicios de Azure con un conector de servicio.

Tutorial: Conexión a Azure Key Vault mediante el controlador CSI

Tutorial: Conexión a Azure Storage mediante la identidad de carga de trabajo