Autentikasikan dengan Azure Container Registry (ACR) dari Azure Kubernetes Service(AKS)

Artikel
03/01/2025

Saat menggunakan Azure Container Registry (ACR) dengan Azure Kubernetes Service (AKS), Anda perlu membuat mekanisme autentikasi. Anda dapat mengonfigurasi izin yang diperlukan antara ACR dan AKS menggunakan Azure CLI, Azure PowerShell, atau portal Azure. Artikel ini menyediakan contoh untuk mengonfigurasi autentikasi antara layanan Azure ini menggunakan Azure CLI atau Azure PowerShell.

Integrasi AKS ke ACR menetapkan peran AcrPull ke identitas terkelola ID Microsoft Entra yang terkait dengan kumpulan agen di kluster AKS Anda. Untuk informasi selengkapnya tentang identitas terkelola AKS, lihat Ringkasan identitas terkelola.

Penting

Ada masalah latensi dengan grup Microsoft Entra saat melampirkan ACR. Jika peran AcrPull diberikan ke grup Microsoft Entra dan identitas kubelet ditambahkan ke grup untuk menyelesaikan konfigurasi RBAC, mungkin ada penundaan sebelum grup RBAC berlaku. Jika Anda menjalankan otomatisasi yang mengharuskan konfigurasi RBAC selesai, kami sarankan Anda menggunakan Bawa identitas kubelet Anda sendiri sebagai solusinya. Anda dapat membuat identitas yang ditetapkan pengguna sebelumnya, menambahkannya ke grup Microsoft Entra, lalu menggunakan identitas sebagai identitas kubelet untuk membuat kluster AKS. Ini memastikan identitas ditambahkan ke grup Microsoft Entra sebelum token dihasilkan oleh kubelet, yang menghindari masalah latensi.

Catatan

Artikel ini membahas autentikasi otomatis antara AKS dan ACR. Jika Anda perlu menarik gambar dari registri eksternal privat, gunakan gambar tarik rahasia.

Sebelum Anda mulai

Anda memerlukan peran Pemilik, administrator akun Azure, atau administrator bersama Azure di langganan Azure Anda.
- Untuk menghindari kebutuhan salah satu peran ini, Anda dapat menggunakan identitas terkelola yang ada untuk mengautentikasi ACR dari AKS. Untuk informasi selengkapnya, lihat Menggunakan identitas terkelola Azure untuk mengautentikasi ke ACR.
Jika Anda menggunakan Azure CLI, artikel ini mengharuskan Anda menjalankan Azure CLI versi 2.7.0 atau yang lebih baru. Jalankan az --version untuk menemukan versinya. Jika Anda perlu memasang atau meningkatkan, lihat Memasang Azure CLI.
Jika Anda menggunakan Azure PowerShell, artikel ini mengharuskan Anda menjalankan Azure PowerShell versi 5.9.0 atau yang lebih baru. Jalankan Get-InstalledModule -Name Az untuk menemukan versinya. Jika Anda perlu menginstal atau meningkatkan, lihat Install modul Azure PowerShell.
Contoh dan sintaks untuk menggunakan Terraform untuk mengonfigurasi ACR dapat ditemukan dalam referensi Terraform.

Jika Anda belum memiliki ACR, buat ACR menggunakan az acr create perintah . Contoh berikut mengatur MYACR variabel ke nama ACR, mycontainerregistry, dan menggunakan variabel untuk membuat registri. Nama ACR Anda harus unik secara global dan hanya menggunakan huruf kecil.

Azure CLI
```
MYACR=mycontainerregistry

az acr create --name $MYACR --resource-group myContainerRegistryResourceGroup --sku basic
```

Jika Anda belum memiliki ACR, buat ACR menggunakan New-AzContainerRegistry cmdlet . Contoh berikut mengatur MYACR variabel ke nama ACR, mycontainerregistry, dan menggunakan variabel untuk membuat registri. Nama ACR Anda harus unik secara global dan hanya menggunakan huruf kecil.

Azure PowerShell
```
$MYACR = 'mycontainerregistry'

New-AzContainerRegistry -Name $MYACR -ResourceGroupName myContainerRegistryResourceGroup -Sku Basic
```

Buat kluster AKS baru dan integrasikan dengan ACR yang ada

Azure CLI
Azure PowerShell

Buat kluster AKS baru dan integrasikan dengan ACR yang ada menggunakan az aks create perintah dengan --attach-acr parameter . Perintah ini memungkinkan Anda untuk mengotorisasi ACR yang ada di langganan Anda dan mengonfigurasi peran AcrPull yang sesuai untuk identitas terkelola.

Azure CLI
```
MYACR=mycontainerregistry

az aks create --name myAKSCluster --resource-group myResourceGroup --generate-ssh-keys --attach-acr $MYACR
```
Perintah ini mungkin perlu waktu beberapa menit untuk diselesaikan.
Catatan

Jika Anda menggunakan ACR yang terletak di langganan yang berbeda dari kluster AKS Anda atau lebih suka menggunakan ID sumber daya ACR alih-alih nama ACR, Anda dapat melakukannya menggunakan sintaks berikut:

Azure CLI
```
az aks create -n myAKSCluster -g myResourceGroup --generate-ssh-keys --attach-acr /subscriptions/<subscription-id>/resourceGroups/myContainerRegistryResourceGroup/providers/Microsoft.ContainerRegistry/registries/myContainerRegistry
```

Buat kluster AKS baru dan integrasikan dengan ACR yang ada menggunakan New-AzAksCluster cmdlet dengan -AcrNameToAttach parameter parameter . Perintah ini memungkinkan Anda untuk mengotorisasi ACR yang ada di langganan Anda dan mengonfigurasi peran AcrPull yang sesuai untuk identitas terkelola.

Azure PowerShell
```
$MYACR = 'mycontainerregistry'

New-AzAksCluster -Name myAKSCluster -ResourceGroupName myResourceGroup -GenerateSshKey -AcrNameToAttach $MYACR
```
Perintah ini mungkin perlu waktu beberapa menit untuk diselesaikan.

Mengonfigurasi integrasi ACR untuk kluster AKS yang ada

Melampirkan ACR ke kluster AKS yang ada

Azure CLI
Azure PowerShell

Integrasikan ACR yang ada dengan kluster AKS yang ada menggunakan az aks update perintah dengan--attach-acr parameter dan nilai yang valid untuk acr-name atau acr-resource-id.

Azure CLI
```
# Attach using acr-name
az aks update --name myAKSCluster --resource-group myResourceGroup --attach-acr <acr-name>

# Attach using acr-resource-id
az aks update --name myAKSCluster --resource-group myResourceGroup --attach-acr <acr-resource-id>
```
Catatan

az aks update --attach-acr Perintah menggunakan izin pengguna yang menjalankan perintah untuk membuat penetapan peran ACR. Peran ini ditetapkan ke identitas terkelola kubelet . Untuk informasi selengkapnya tentang identitas terkelola AKS, lihat Ringkasan identitas terkelola.

Integrasikan ACR yang ada dengan kluster AKS yang ada menggunakan Set-AzAksCluster perintah dengan -AcrNameToAttach parameter dan nilai yang valid untuk acr-name.

Azure PowerShell
```
Set-AzAksCluster -Name myAKSCluster -ResourceGroupName myResourceGroup -AcrNameToAttach <acr-name>
```
Catatan

Set-AzAksCluster -AcrNameToAttach Menjalankan cmdlet menggunakan izin pengguna yang menjalankan perintah untuk membuat penetapan ACR peran. Peran ini ditetapkan ke identitas terkelola kubelet . Untuk informasi selengkapnya tentang identitas terkelola AKS, lihat Ringkasan identitas terkelola.

Melepaskan ACR dari kluster AKS

Azure CLI
Azure PowerShell

Hapus integrasi antara ACR dan kluster AKS menggunakan az aks update perintah dengan--detach-acr parameter dan nilai yang valid untuk acr-name atau acr-resource-id.

Azure CLI

# Detach using acr-name
az aks update --name myAKSCluster --resource-group myResourceGroup --detach-acr <acr-name>

# Detach using acr-resource-id
az aks update --name myAKSCluster --resource-group myResourceGroup --detach-acr <acr-resource-id>

Hapus integrasi antara ACR dan kluster AKS menggunakan Set-AzAksCluster perintah dengan -AcrNameToDetach parameter dan nilai yang valid untuk acr-name.

Azure PowerShell
```
Set-AzAksCluster -Name myAKSCluster -ResourceGroupName myResourceGroup -AcrNameToDetach <acr-name>
```

Bekerja sama dengan ACR & AKS

Impor gambar ke ACR Anda

Azure CLI
Azure PowerShell

Impor gambar dari Docker Hub ke ACR Anda menggunakan az acr import perintah .

Azure CLI
```
az acr import --name <acr-name> --source docker.io/library/nginx:latest --image nginx:v1
```

Impor gambar dari Docker Hub ke ACR Anda menggunakan cmdlet [Import-AzContainerRegistryImage].

Azure PowerShell

Import-AzContainerRegistryImage -RegistryName <acr-name> -ResourceGroupName myResourceGroup -SourceRegistryUri docker.io -SourceImage library/nginx:latest

Sebarkan gambar sampel dari ACR ke AKS

Azure CLI
Azure PowerShell

Pastikan Anda memiliki kredensial AKS yang tepat menggunakan az aks get-credentials perintah .

Azure CLI
```
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
```

Buat file bernama acr-nginx.yaml menggunakan contoh YAML berikut dan ganti acr-name dengan nama ACR Anda.

YAML

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx0-deployment
  labels:
    app: nginx0-deployment
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx0
  template:
    metadata:
      labels:
        app: nginx0
    spec:
      containers:
      - name: nginx
        image: <acr-name>.azurecr.io/nginx:v1
        ports:
        - containerPort: 80

Jalankan penyebaran di kluster AKS Anda menggunakan kubectl apply perintah .

Console
```
kubectl apply -f acr-nginx.yaml
```

Pantau penyebaran menggunakan kubectl get pods perintah .

Console

kubectl get pods

Output harus menunjukkan dua pod yang sedang berjalan, seperti yang ditunjukkan dalam contoh output berikut:

Output

NAME                                 READY   STATUS    RESTARTS   AGE
nginx0-deployment-669dfc4d4b-x74kr   1/1     Running   0          20s
nginx0-deployment-669dfc4d4b-xdpd6   1/1     Running   0          20s

Pastikan Anda memiliki kredensial AKS yang tepat menggunakan Import-AzAksCredential cmdlet .

Azure PowerShell
```
Import-AzAksCredential -ResourceGroupName myResourceGroup -Name myAKSCluster
```

Buat file bernama acr-nginx.yaml menggunakan contoh YAML berikut dan ganti acr-name dengan nama ACR Anda.

YAML

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx0-deployment
  labels:
    app: nginx0-deployment
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx0
  template:
    metadata:
      labels:
        app: nginx0
    spec:
      containers:
      - name: nginx
        image: <acr-name>.azurecr.io/nginx:v1
        ports:
        - containerPort: 80

Jalankan penyebaran di kluster AKS Anda menggunakan kubectl apply perintah .

Console
```
kubectl apply -f acr-nginx.yaml
```

Pantau penyebaran menggunakan kubectl get pods perintah .

Console

kubectl get pods

Output harus menunjukkan dua pod yang sedang berjalan, seperti yang ditunjukkan dalam contoh output berikut:

Output

NAME                                 READY   STATUS    RESTARTS   AGE
nginx0-deployment-669dfc4d4b-x74kr   1/1     Running   0          20s
nginx0-deployment-669dfc4d4b-xdpd6   1/1     Running   0          20s

Mengonfigurasi ACR dengan tautan privat melalui Proksi HTTP Azure dan AKS

ACR memiliki dua titik akhir:

Titik akhir REST: {REGISTRY_NAME}.azurecr.io
Titik akhir data: {REGISTRY_NAME}.{REGISTRY_LOCATION}.data.azurecr.io

Pastikan titik akhir data dan lainnya ditambahkan ke noProxy di bawah konfigurasi Proksi HTTP.

JSON

{
  "httpProxy": "string",
  "httpsProxy": "string",
  "noProxy": [
    "{REGISTRY_NAME}.azurecr.io",
    "{REGISTRY_NAME}.{REGISTRY_LOCATION}.data.azurecr.io"
  ],
  "trustedCa": "string"
}

Verifikasi melalui log bahwa lalu lintas melalui tautan privat.

Catatan

Kedua titik akhir diperlukan jika tidak, beberapa lalu lintas akan melalui proksi HTTP daripada tautan privat.

Pemecahan Masalah

Validasi registri dapat diakses dari kluster AKS menggunakan az aks check-acr perintah .
Pelajari selengkapnya tentang pemantauan ACR.
Pelajari selengkapnya tentang kesehatan ACR.

Berkolaborasi dengan kami di GitHub

Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.

Umpan balik Azure Kubernetes Service

Azure Kubernetes Service adalah proyek sumber terbuka. Pilih tautan untuk memberikan umpan balik:

Buka masalah dokumentasi Berikan umpan balik produk

Sumber Daya Tambahan:

Dokumentasi

Lampirkan ke Azure Container Registry (ACR) menggunakan ekstensi Azure Kubernetes Service (AKS) untuk Visual Studio Code - Azure Kubernetes Service

Pelajari cara melampirkan ke Azure Container Registry (ACR) menggunakan ekstensi Azure Kubernetes Service (AKS) untuk Visual Studio Code.
Kubernetes Tarik Rahasia untuk Autentikasi ACR - Azure Container Registry

Pelajari cara menyediakan kluster Kubernetes dengan akses ke gambar di registri kontainer Azure dengan membuat rahasia penarikan menggunakan perwakilan layanan
Menggunakan perwakilan layanan dengan AKS - Azure Kubernetes Service

Pelajari cara membuat dan mengelola perwakilan layanan Microsoft Entra dengan kluster di Azure Kubernetes Service (AKS).
Triase AKS—Konektivitas registri kontainer - Azure Architecture Center

Pelajari tentang memverifikasi koneksi ke registri kontainer. Langkah ini adalah bagian dari praktik triase untuk kluster Azure Kubernetes Service (AKS).
Menyambungkan ke node kluster Azure Kubernetes Service (AKS) - Azure Kubernetes Service

Pelajari cara menyambungkan ke node kluster Azure Kubernetes Service (AKS) untuk tugas pemecahan masalah dan pemeliharaan.
Mulai cepat: Menyebarkan kluster Azure Kubernetes Service (AKS) menggunakan Azure CLI - Azure Kubernetes Service

Pelajari cara menyebarkan kluster Kubernetes dengan cepat dan menyebarkan aplikasi di Azure Kubernetes Service (AKS) menggunakan Azure CLI.

Pelatihan

Modul

Mengonfigurasi Azure Container Registry untuk penyebaran aplikasi kontainer - Training

Pelajari cara membuat dan mengonfigurasi Azure Container Registry, proses mendorong gambar kontainer ke Azure Container Registry dan menjelajahi metode autentikasi dan fitur keamanan yang berbeda untuk Azure Container Registry.

Sertifikasi

Bersertifikat Microsoft: Azure Administrator Associate - Certifications

Menunjukkan keterampilan utama untuk mengonfigurasi, mengelola, mengamankan, dan mengelola fungsi profesional utama di Microsoft Azure.

Acara

Membangun Aplikasi dan Agen AI

17 Mar, 21 - 21 Mar, 10

Bergabunglah dengan seri meetup untuk membangun solusi AI yang dapat diskalakan berdasarkan kasus penggunaan dunia nyata dengan sesama pengembang dan pakar.

Daftar sekarang

Bagikan melalui