Azure Kubernetes Service-fürt csatlakoztatása az Azure Archoz

  • Cikk

A következőkre vonatkozik: AKS az Azure Stack HCI 22H2-n, AKS Windows Serveren

Amikor egy Azure Kubernetes Service-fürtöt (AKS- ) csatol az Azure Archoz, az Azure Resource Manager-reprezentációt kap. A fürtök standard Azure-előfizetésekhez vannak csatolva, egy erőforráscsoportban találhatók, és ugyanúgy fogadhatnak címkéket, mint bármely más Azure-erőforrás. A Kubernetes-reprezentációval a következő képességeket is kiterjesztheti a Kubernetes-fürtre:

  • Felügyeleti szolgáltatások: konfigurációk (GitOps), Tárolókhoz készült Azure Monitor, Azure Policy (Gatekeeper).
  • Adatszolgáltatások: SQL Managed Instance, Rugalmas skálázású PostgreSQL.
  • Alkalmazásszolgáltatások: App Service, Functions, Event Grid, Logic Apps, API Management.

Ahhoz, hogy kubernetes-fürtöt csatlakoztatjon az Azure-hoz, a fürt rendszergazdájának ügynököket kell üzembe helyeznie. Ezek az ügynökök egy azure-arc nevű Kubernetes-névtérben futnak, és standard Kubernetes-üzemelő példányok. Az ügynökök felelősek az Azure-hoz való csatlakozásért, az Azure Arc-naplók és -metrikák gyűjtéséért, valamint a korábban említett forgatókönyvek fürtbeli engedélyezéséért.

Az AKS támogatja az iparági szabványnak megfelelő SSL-t az átvitel alatt lévő adatok védelméhez. Emellett az adatok titkosítva vannak tárolva egy Azure Cosmos DB-adatbázisban az adatok titkosságának biztosítása érdekében.

Az alábbi lépések azt mutatják be, hogyan csatlakoztathatók AKS-fürtök az Azure Archoz az Arc által engedélyezett AKS-ben. Ezeket a lépéseket kihagyhatja, ha már csatlakoztatta a Kubernetes-fürtöt az Azure Archoz Windows Admin Center használatával.

Előkészületek

Ellenőrizze, hogy a következő követelményekkel rendelkezik-e:

  • Egy AKS-fürt legalább egy linuxos munkavégző csomóponttal, amely működik és fut.
  • Telepítse az AksHci PowerShell-modult.
  • Az Azure-előfizetés következő hozzáférési szintje:
    • Egy beépített Tulajdonos szerepkörrel rendelkező felhasználói fiók. A hozzáférési szint ellenőrzéséhez navigáljon az előfizetéséhez, válassza a "Hozzáférés-vezérlés (IAM)" lehetőséget a Azure Portal bal oldalán, majd kattintson a Hozzáférés megtekintése elemre.
    • Beépített Tulajdonos szerepkörrel rendelkező szolgáltatásnév.
  • Futtassa a cikkben található parancsokat egy PowerShell felügyeleti ablakban.
  • Győződjön meg arról, hogy megfelel az AKS hálózati követelményeinek.

1. lépés: Bejelentkezés az Azure-ba

Az Azure-ba való bejelentkezéshez futtassa a Connect-AzAccount PowerShell-parancsot:

Connect-AzAccount $tenantId

Ha másik előfizetésre szeretne váltani, futtassa a Set-AzContext PowerShell-parancsot:

Set-AzContext -Subscription $subscriptionId

2. lépés: A két szolgáltató regisztrálása az AKS-ben

Ezt a lépést kihagyhatja, ha már regisztrálta a két szolgáltatót az AKS-hez az előfizetésében. A regisztráció egy aszinkron folyamat, amelyet előfizetésenként egyszer kell elvégezni. A regisztráció körülbelül 10 percet vehet igénybe:

Register-AzResourceProvider -ProviderNamespace Microsoft.Kubernetes
Register-AzResourceProvider -ProviderNamespace Microsoft.KubernetesConfiguration
Register-AzResourceProvider -ProviderNamespace Microsoft.ExtendedLocation

A következő parancsokkal ellenőrizheti, hogy regisztrálva van-e:

Get-AzResourceProvider -ProviderNamespace Microsoft.Kubernetes
Get-AzResourceProvider -ProviderNamespace Microsoft.KubernetesConfiguration
Get-AzResourceProvider -ProviderNamespace Microsoft.ExtendedLocation

3. lépés: Csatlakozás az Azure Archoz a Aks-Hci PowerShell-modullal

Csatlakoztassa az AKS-fürtöt a Kuberneteshez az Enable-AksHciArcConnection PowerShell-paranccsal. Ez a lépés üzembe helyezi a KubernetesHez készült Azure Arc-ügynököket a azure-arc névtérben:

Enable-AksHciArcConnection -name $clusterName

Az AKS-fürt csatlakoztatása az Azure Archoz szolgáltatásnévvel

Ha nem rendelkezik hozzáféréssel olyan előfizetéshez, amelyen Ön "tulajdonos", az AKS-fürtöt egy szolgáltatásnévvel csatlakoztathatja az Azure Archoz.

Az első parancssor a szolgáltatásnév hitelesítő adatainak megadását kéri, és tárolja őket a credential változóban. Adja meg a felhasználónév alkalmazásazonosítóját, majd amikor a rendszer kéri, használja a szolgáltatásnév titkos kódját jelszóként. Győződjön meg arról, hogy ezeket az értékeket az előfizetés rendszergazdájától kapja meg. A második parancs csatlakoztatja a fürtöt az Azure Archoz a változóban credential tárolt szolgáltatásnév hitelesítő adataival:

$Credential = Get-Credential
Enable-AksHciArcConnection -name $clusterName -subscriptionId $subscriptionId -resourceGroup $resourceGroup -credential $Credential -tenantId $tenantId -location $location

Győződjön meg arról, hogy a fenti parancsban használt szolgáltatásnévhez hozzá van rendelve a "Tulajdonos" szerepkör, és hogy hatókörrel rendelkezik a parancsban használt előfizetés-azonosítóra. További információ a szolgáltatásnevekről: Szolgáltatásnév létrehozása Azure PowerShell.

Az AKS-fürt csatlakoztatása az Azure Archoz és egyéni helyek engedélyezése

Ha egyéni helyeket szeretne engedélyezni a fürtön az Azure Arc szolgáltatással együtt, futtassa a következő parancsot az egyéni helyalapú alkalmazás objektumazonosítójának lekéréséhez, majd csatlakozzon az Azure Archoz egy szolgáltatásnévvel:

$objectID = (Get-AzADServicePrincipal -ApplicationId "bc313c14-388c-4e7d-a58e-70017303ee3b").Id
Enable-AksHciArcConnection -name $clusterName -subscriptionId $subscriptionId -resourceGroup $resourceGroup -credential $Credential -tenantId $tenantId -location -customLocationsOid $objectID

A csatlakoztatott fürt ellenőrzése

A Kubernetes-fürterőforrást a Azure Portal tekintheti meg. Miután megnyitotta a portált a böngészőben, keresse meg az erőforráscsoportot és az AKS-erőforrást, amely az enable-akshciarcconnection PowerShell-parancsban használt erőforrásnév- és erőforráscsoport-névbevitelen alapul.

Megjegyzés

A fürt csatlakoztatása után a fürt metaadatai (fürtverzió, ügynökverzió, csomópontok száma) legfeljebb 5–10 percig tarthat, amíg az AKS-erőforrás áttekintő oldalán megjelenik Azure Portal.

Azure Arc-ügynökök a Kuberneteshez

Az AKS üzembe helyez néhány operátort a azure-arc névtérben. Az alábbi példában látható módon megtekintheti ezeket az üzemelő példányokat és podokat a használatával kubectl:

kubectl -n azure-arc get deployments,pods

Az AKS néhány ügynökből (operátorból) áll, amelyek a névtérben üzembe helyezett fürtben futnak azure-arc . Az ügynökökkel kapcsolatos további információkért tekintse meg ezt az áttekintést.

Az AKS-fürt leválasztása az Azure Arcról

Ha le szeretné választani a fürtöt az AKS-ről, futtassa a Disable-AksHciArcConnection PowerShell parancsot. A parancs futtatása előtt győződjön meg arról, hogy bejelentkezik az Azure-ba:

Disable-AksHciArcConnection -Name $clusterName

Következő lépések