Oktatóanyag – Azure Kubernetes Service- (AKS-) fürt létrehozása

A Kubernetes tárolóalapú alkalmazásokhoz kínál elosztott platformot. Az Azure Kubernetes Service (AKS) segítségével gyorsan létrehozhat egy Kubernetes-fürtöt, amely készen áll az éles üzemre.

Ebben az oktatóanyagban egy AKS-ben lévő Kubernetes-fürtöt helyez üzembe. Az alábbiak végrehajtásának módját ismerheti meg:

• Helyezzen üzembe egy AKS-fürtöt, amely hitelesíthető egy Azure Container Registryben (ACR).
• Telepítse a Kubernetes parancssori felületét. kubectl
• Konfigurálja kubectl az AKS-fürthöz való csatlakozást.

Mielőtt elkezdené

Az előző oktatóanyagokban Ön létrehozott egy konténerképet, és feltöltötte egy ACR-példányba. Kezdje a 1. oktatóanyaggal – Az alkalmazás előkészítése az AKS-hez, hogy folytatni tudja.

• Ha Azure CLI-t használ, ehhez az oktatóanyaghoz az Azure CLI 2.35.0-s vagy újabb verzióját kell futtatnia. Ellenőrizze a verziót a használatával az --version. A telepítéssel vagy frissítéssel kapcsolatban lásd: Az Azure CLI telepítése.
• Az Azure PowerShell használata esetén ez az oktatóanyag megköveteli az Azure PowerShell 5.9.0-s vagy újabb verziójának futtatását. Ellenőrizze a verziót a használatával Get-InstalledModule -Name Az. A telepítéssel vagy frissítéssel kapcsolatban lásd az Azure PowerShell telepítését.
• Ha Az Azure Developer CLI-t használja, ehhez az oktatóanyaghoz az Azure Developer CLI 1.5.1-es vagy újabb verzióját kell futtatnia. Ellenőrizze a verziót a használatával azd version. A telepítéssel vagy frissítéssel kapcsolatban lásd az Azure Developer CLI telepítését.

---

Kubernetes-fürt létrehozása

Az AKS-fürtök a Kubernetes szerepköralapú hozzáférés-vezérlést (Kubernetes RBAC) használhatják, amely lehetővé teszi az erőforrásokhoz való hozzáférést a felhasználókhoz rendelt szerepkörök alapján. Ha egy felhasználó több szerepkörhöz van hozzárendelve, az engedélyek egyesítve lesznek. Az engedélyek hatóköre egyetlen névtérre vagy az egész fürtre terjedhet ki.

Az AKS-ről és a Kubernetes RBAC-ről további információt a Fürterőforrások hozzáférésének szabályozása Kubernetes RBAC és Microsoft Entra-identitások használatával az AKS-ben című témakörben talál.

Azure CLI

Ehhez az oktatóanyaghoz az Azure CLI 2.35.0-s vagy újabb verziója szükséges. Ellenőrizze a verziót a használatával az --version. A telepítéssel vagy frissítéssel kapcsolatban lásd: Az Azure CLI telepítése. Ha a Bash-környezetet használja az Azure Cloud Shellben, a legújabb verzió már telepítve van.

Azure PowerShell

Ehhez az oktatóanyaghoz az Azure PowerShell 5.9.0-s vagy újabb verziója szükséges. Ellenőrizze a verziót a használatával Get-InstalledModule -Name Az. A telepítéssel vagy frissítéssel kapcsolatban lásd az Azure PowerShell telepítését. Ha Az Azure Cloud Shellt használja, a legújabb verzió már telepítve van.

Azure Developer CLI

Ehhez az oktatóanyaghoz az Azure Developer CLI 1.5.1-es vagy újabb verziója szükséges. Ellenőrizze a verziót a használatával azd version. A telepítéssel vagy frissítéssel kapcsolatban lásd az Azure Developer CLI telepítését.

A Kubernetes parancssori felület telepítése

A Kubernetes parancssori felületével kubectlcsatlakozhat a Kubernetes-fürthöz. Ha az Azure Cloud Shellt használja, a kubectl már telepítve van. Ha helyileg futtatja a parancsokat, az Azure CLI vagy az Azure PowerShell használatával telepítheti a parancsokat kubectl.

Azure CLI

• Telepítse kubectl helyileg a az aks install-cli parancs használatával.

  az aks install-cli
  

Azure PowerShell

• Telepítse kubectl helyileg a Install-AzAksCliTool parancsmaggal.

  Install-AzAksCliTool
  

Azure Developer CLI

A azd környezetek automatikusan letöltik az összes függőséget, amelyeket a ./devcontainer/devcontainer.json kódtérben találnak. Ez magában foglalja a Kubernetes parancssori felületét, valamint az Azure Container Registry (ACR) rendszerképeit.

• A helyi telepítéshez kubectl használja a az aks install-cli parancsot.

  az aks install-cli
  

AKS-fürt létrehozása

Az AKS-fürtök a Kubernetes szerepköralapú hozzáférés-vezérlést (Kubernetes RBAC) használhatják, amely lehetővé teszi az erőforrásokhoz való hozzáférést a felhasználókhoz rendelt szerepkörök alapján. Az engedélyek akkor lesznek kombinálva, ha a felhasználók több szerepkörhöz vannak hozzárendelve. Az engedélyek hatóköre egyetlen névtérre vagy az egész fürtre terjedhet ki. További információ: Fürterőforrások hozzáférésének szabályozása a Kubernetes RBAC és a Microsoft Entra ID használatával az AKS-ben.

Az AKS-erőforráskorlátokról és a régiók rendelkezésre állásáról további információt a Kvóták, a virtuális gépek méretkorlátozásai és a régiók rendelkezésre állása az AKS-ben című témakörben talál.

Fontos

Ez az oktatóanyag létrehoz egy három csomópontú klasztert. Ahhoz, hogy a kiszolgálófürt megbízhatóan működjön, legalább két csomópontot kell futtatni. Az Azure Container Storage használatához legalább három csomópont szükséges. Ha hibaüzenet jelenik meg a fürt létrehozásakor, előfordulhat, hogy az Azure-előfizetéséhez kvótanövelést kell kérnie, vagy ki kell próbálnia egy másik Azure-régiót. Másik lehetőségként kihagyhatja a csomópont virtuálisgép-méretparaméterét az alapértelmezett virtuálisgép-méret használatához.

Azure CLI

Annak érdekében, hogy egy AKS-fürt más Azure-erőforrásokkal interakcióba léphessen, az Azure-platform automatikusan létrehoz egy fürt-identitást. Ebben a példában a klaszter identitása megkapja a jogot képek lekérésére az előző oktatóanyagban létrehozott ACR-példányból. A parancs sikeres végrehajtásához tulajdonosi vagy Azure-fiókadminisztrátori szerepkörrel kell rendelkeznie az Azure-előfizetésben.

• Hozzon létre egy AKS-fürtöt a az aks create paranccsal. A következő példában létrehozunk egy myAKSCluster nevű fürtöt a myResourceGroup nevű erőforráscsoportban. Ez az erőforráscsoport az előző oktatóanyagban jött létre a westus2 régióban. Az $ACRNAME beállított környezeti változót továbbra is használni fogjuk. Ha nem rendelkezik ezzel a környezeti változóval, állítsa most ugyanarra az értékre, amelyet korábban használt.

  az aks create \
      --resource-group myResourceGroup \
      --name myAKSCluster \
      --node-count 3 \
      --node-vm-size standard_l8s_v3 \
      --generate-ssh-keys \
      --attach-acr $ACRNAME
  

  Feljegyzés

  Ha már létrehozott SSH-kulcsokat, a következőhöz linuxProfile.ssh.publicKeys.keyData is invalidhasonló hibaüzenet jelenhet meg. A folytatáshoz próbálkozzon újra a parancs paraméter nélkül --generate-ssh-keys .

Annak érdekében, hogy ne legyen szükség tulajdonosi vagy Azure-fiókadminisztrátori szerepkörre, manuálisan is konfigurálhat egy szolgáltatásnevet a rendszerképek ACR-ből való lekéréséhez. További információ: ACR-hitelesítés szolgáltatásnévvel vagy Hitelesítés a Kubernetesből lekéréses titkos kóddal. Másik lehetőségként a felügyelt identitást is használhatja szolgáltatásnév helyett a könnyebb felügyelet érdekében.

Azure PowerShell

Annak érdekében, hogy egy AKS-fürt más Azure-erőforrásokkal interakcióba léphessen, az Azure-platform automatikusan létrehoz egy fürt-identitást. Ebben a példában a klaszter identitása megkapja a jogot képek lekérésére az előző oktatóanyagban létrehozott ACR-példányból. A parancs sikeres végrehajtásához tulajdonosi vagy Azure-fiókadminisztrátori szerepkörrel kell rendelkeznie az Azure-előfizetésben.

• Hozzon létre egy AKS-fürtöt a New-AzAksCluster parancsmag használatával. A következő példában létrehozunk egy myAKSCluster nevű fürtöt a myResourceGroup nevű erőforráscsoportban. Ez az erőforráscsoport az előző oktatóanyagban jött létre a westus2 régióban.

  New-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster -NodeCount 3 -NodeVmSize standard_l8s_v3 -GenerateSshKey -AcrNameToAttach $ACRNAME
  

  Feljegyzés

  Ha már létrehozott SSH-kulcsokat, a következőhöz linuxProfile.ssh.publicKeys.keyData is invalidhasonló hibaüzenet jelenhet meg. A folytatáshoz próbálkozzon újra a parancs paraméter nélkül -GenerateSshKey .

Annak érdekében, hogy ne legyen szükség tulajdonosi vagy Azure-fiókadminisztrátori szerepkörre, manuálisan is konfigurálhat egy szolgáltatásnevet a rendszerképek ACR-ből való lekéréséhez. További információ: ACR-hitelesítés szolgáltatásnévvel vagy Hitelesítés a Kubernetesből lekéréses titkos kóddal. Másik lehetőségként a felügyelt identitást is használhatja szolgáltatásnév helyett a könnyebb felügyelet érdekében.

Azure Developer CLI

azd csomagolja a fürtök üzembe helyezését az alkalmazással együtt a azd up parancs használatával. Ezt a parancsot a tárolóalapú alkalmazás üzembe helyezése oktatóanyag ismerteti.

Csatlakozás klaszterhez a kubectl használatával

Azure CLI

1. Állítsa be a kubectl-t, hogy csatlakozzon a Kubernetes-fürthöz a az aks get-credentials parancs használatával. Az alábbi példa lekéri a myAKSCluster nevű AKS-fürt hitelesítő adatait a myResourceGroupban.

   az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
   

2. Ellenőrizze a fürthöz való csatlakozást a kubectl get nodes parancs használatával, amely a fürtcsomópontok listáját adja vissza.

   kubectl get nodes
   

   Az alábbi példakimenet a fürtcsomópontok listáját jeleníti meg:

   NAME                                STATUS   ROLES   AGE   VERSION
   aks-nodepool1-19366578-vmss000000   Ready    agent   47h   v1.30.9
   aks-nodepool1-19366578-vmss000001   Ready    agent   47h   v1.30.9
   aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.30.9
   

Azure PowerShell

1. Konfigurálja kubectl a Kubernetes-fürthöz való csatlakozást a Import-AzAksCredential parancsmag használatával. Az alábbi példa lekéri a myAKSCluster nevű AKS-fürt hitelesítő adatait a myResourceGroupban.

   Import-AzAksCredential -ResourceGroupName myResourceGroup -Name myAKSCluster
   

2. Ellenőrizze a fürthöz való csatlakozást a kubectl get nodes parancs használatával, amely a fürtcsomópontok listáját adja vissza.

   kubectl get nodes
   

   Az alábbi példakimenet a fürtcsomópontok listáját jeleníti meg.

   NAME                                STATUS   ROLES   AGE   VERSION
   aks-nodepool1-19366578-vmss000000   Ready    agent   47h   v1.30.9
   aks-nodepool1-19366578-vmss000001   Ready    agent   47h   v1.30.9
   aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.30.9
   

Azure Developer CLI

1. Konfigurálja a fürt hitelesítését a azd auth login paranccsal.

   azd auth login 
   

2. Kövesse a hitelesítési módszer útmutatását.

3. Ellenőrizze a klaszterhez való kapcsolatot a kubectl get nodes paranccsal.

   kubectl get nodes
   

   Az alábbi példakimenet a fürtcsomópontok listáját jeleníti meg:

   NAME                                STATUS   ROLES   AGE   VERSION
   aks-nodepool1-19366578-vmss000000   Ready    agent   47h   v1.30.9
   aks-nodepool1-19366578-vmss000001   Ready    agent   47h   v1.30.9
   aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.30.9
   

azd hitelesítés megkerülése

A kerülő megoldáshoz telepítenie kell az Azure CLI-t.

1. Nyisson meg egy terminálablakot, és az Azure CLI segítségével jelentkezzen be a az login parancs és a --scope paraméter https://graph.microsoft.com/.default értékre állításával.

   az login --scope https://graph.microsoft.com/.default
   

   A böngésző hozzáférési jogkivonatának létrehozásához egy új lapon lévő hitelesítési lapra kell átirányítani, ahogyan az alábbi példában látható:

   https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize?clientid=<your_client_id>.
   

2. Másolja ki annak a weblapnak a localhost URL-címét, amely a bejelentkezés azd auth loginután érkezett.

3. Egy új terminálablakban a következő curl kéréssel jelentkezzen be. Ügyeljen arra, hogy a <localhost> helyőrzőt cserélje le az előző lépésben másolt localhost URL-címre.

   curl <localhost>
   

   A sikeres bejelentkezés egy HTML-weblapot ad ki, ahogy az a következő példában is látható:

   <!DOCTYPE html>
   <html>
   <head>
       <meta charset="utf-8" />
       <meta http-equiv="refresh" content="60;url=https://docs.microsoft.com/cli/azure/">
       <title>Login successfully</title>
       <style>
           body {
               font-family: 'Segoe UI', Tahoma, Geneva, Verdana, sans-serif;
           }
   
           code {
               font-family: Consolas, 'Liberation Mono', Menlo, Courier, monospace;
               display: inline-block;
               background-color: rgb(242, 242, 242);
               padding: 12px 16px;
               margin: 8px 0px;
           }
       </style>
   </head>
   <body>
       <h3>You have logged into Microsoft Azure!</h3>
       <p>You can close this window, or we will redirect you to the <a href="https://docs.microsoft.com/cli/azure/">Azure CLI documentation</a> in 1 minute.</p>
       <h3>Announcements</h3>
       <p>[Windows only] Azure CLI is collecting feedback on using the <a href="https://learn.microsoft.com/windows/uwp/security/web-account-manager">Web Account Manager</a> (WAM) broker for the login experience.</p>
       <p>You may opt-in to use WAM by running the following commands:</p>
       <code>
           az config set core.allow_broker=true<br>
           az account clear<br>
           az login
       </code>
   </body>
   </html>
   

4. Zárja be az aktuális terminált, és nyissa meg az eredeti terminált. Meg kell jelennie az előfizetések JSON-listájának.

5. Másolja ki a id használni kívánt előfizetés mezőjét.

6. Állítsa be az előfizetést a az account set paranccsal.

   az account set --subscription <subscription_id>
   

Következő lépés

Ebben az oktatóanyagban üzembe helyezett egy Kubernetes klasztert az AKS-ben, és úgy konfigurálta kubectl-t, hogy csatlakozzon a klaszterhez. Megtanulta végrehajtani az alábbi műveleteket:

• Helyezzen üzembe egy AKS-fürtöt, amely hitelesíthető az ACR-ben.
• Telepítse a Kubernetes parancssori felületét. kubectl
• Konfigurálja kubectl az AKS-fürthöz való csatlakozást.

A következő oktatóanyagban megtudhatja, hogyan helyezheti üzembe az Azure Container Storage-t a fürtön, és hogyan hozhat létre általános rövid élettartamú kötetet. Ha Azure Developer CLI-t használ, vagy kvótaproblémák miatt nem tudott tárolóoptimalizált virtuálisgép-típust használni, folytassa közvetlenül a Tárolóalapú alkalmazás üzembe helyezése oktatóanyagtal.

Az Azure Container Storage üzembe helyezése