Esercitazione: abilitare il componente aggiuntivo Controller in ingresso per un nuovo cluster del servizio Azure Kubernetes con una nuova istanza del gateway applicazione di Azure
È possibile usare l'interfaccia della riga di comando di Azure per abilitare il componente aggiuntivo Controller in ingresso del gateway applicazione (AGIC) per un nuovo cluster del servizio Azure Kubernetes (AKS).
In questa esercitazione verrà creato un cluster del servizio Azure Kubernetes con il componente aggiuntivo Controller in ingresso del gateway applicazione abilitato. Quando si crea il cluster, viene creata automaticamente un'istanza del gateway applicazione di Azure da usare. Verrà quindi distribuita un'applicazione di esempio che userà il componente aggiuntivo per esporre l'applicazione tramite il gateway applicazione.
Il componente aggiuntivo costituisce una soluzione di gran lunga più rapida per distribuire Controller in ingresso del gateway applicazione per il cluster del servizio Azure Kubernetes rispetto a quella precedente basata su Helm. Offre inoltre un'esperienza completamente gestita.
In questa esercitazione apprenderai a:
- Crea un gruppo di risorse.
- Creare un nuovo cluster del servizio Azure Kubernetes con il componente aggiuntivo Controller in ingresso del gateway applicazione abilitato.
- Distribuire un'applicazione di esempio usando Controller in ingresso del gateway applicazione per il traffico in ingresso nel cluster del servizio Azure Kubernetes.
- Verificare che l'applicazione sia raggiungibile tramite il gateway applicazione.
Se non si ha una sottoscrizione di Azure, creare un account Azure gratuito prima di iniziare.
Prerequisiti
Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.
Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.
Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.
Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.
Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.
Creare un gruppo di risorse
In Azure, si allocano le risorse correlate a un gruppo di risorse. Creare un gruppo di risorse usando az group create. L'esempio seguente crea un gruppo di risorse denominato myResourceGroup nella località (area) Stati Uniti orientali:
az group create --name myResourceGroup --location eastus
Distribuire un cluster del servizio Azure Kubernetes con il componente aggiuntivo abilitato
Verrà ora distribuito un nuovo cluster del servizio Azure Kubernetes con il componente aggiuntivo Controller in ingresso del gateway applicazione abilitato. Se non si specifica un'istanza del gateway applicazione esistente da usare in questo processo, verrà creata e configurata automaticamente una nuova istanza del gateway applicazione per gestire il traffico indirizzato al cluster del servizio Azure Kubernetes.
Nota
Il componente aggiuntivo Controller in ingresso del gateway applicazione supporta solo SKU V2 del gateway applicazione (Standard e WAF) e non SKU V1 del gateway applicazione. Quando si distribuisce una nuova istanza del gateway applicazione tramite il componente aggiuntivo Controller in ingresso del gateway applicazione, è possibile distribuire solo uno SKU del gateway applicazione Standard_v2. Se si desidera abilitare il componente aggiuntivo per uno SKU WAF_v2 del gateway applicazione, usare uno di questi metodi:
- Abilitare WAF nel gateway applicazione tramite il portale.
- Creare prima di tutto l'istanza del gateway applicazione WAF_v2 e quindi seguire le istruzioni su come abilitare il componente aggiuntivo Controller in ingresso del gateway applicazione con un cluster del servizio Azure Kubernetes esistente e l'istanza del gateway applicazione esistente.
Nell'esempio seguente verrà distribuito un nuovo cluster del servizio Azure Kubernetes denominato myCluster usando Azure CNI e le identità gestite. Il componente aggiuntivo Controller in ingresso del gateway applicazione verrà abilitato nel gruppo di risorse creato, ovvero myResourceGroup.
Se si distribuisce un nuovo cluster del servizio Azure Kubernetes con il componente aggiuntivo AGIC abilitato senza specificare un'istanza del gateway applicazione esistente, verrà creata automaticamente un'istanza del gateway applicazione Standard_v2 SKU. Sarà necessario specificare un nome e uno spazio indirizzi subnet per la nuova istanza del gateway applicazione. Lo spazio indirizzi deve essere compreso tra il prefisso 10.224.0.0/12 usato dalla rete virtuale del servizio Azure Kubernetes senza sovrapporsi al prefisso 10.224.0.0/16 usato dalla subnet del servizio Azure Kubernetes. In questa esercitazione usare myApplicationGateway per il nome del gateway applicazione e 10.225.0.0/16 per lo spazio indirizzi della subnet.
az aks create -n myCluster -g myResourceGroup --network-plugin azure --enable-managed-identity -a ingress-appgw --appgw-name myApplicationGateway --appgw-subnet-cidr "10.225.0.0/16" --generate-ssh-keys
Nota
Assicurarsi che l'identità usata dal controller in ingresso del gateway applicazione disponga dell'autorizzazione Microsoft.Network/virtualNetworks/subnets/join/action delegata alla subnet in cui viene distribuito il gateway applicazione. Se non è definito un ruolo personalizzato con questa autorizzazione, è possibile usare il ruolo predefinito Collaboratore Rete, che contiene l'autorizzazione Microsoft.Network/virtualNetworks/subnets/join/action.
# Get application gateway id from AKS addon profile
appGatewayId=$(az aks show -n myCluster -g myResourceGroup -o tsv --query "addonProfiles.ingressApplicationGateway.config.effectiveApplicationGatewayId")
# Get Application Gateway subnet id
appGatewaySubnetId=$(az network application-gateway show --ids $appGatewayId -o tsv --query "gatewayIPConfigurations[0].subnet.id")
# Get AGIC addon identity
agicAddonIdentity=$(az aks show -n myCluster -g myResourceGroup -o tsv --query "addonProfiles.ingressApplicationGateway.identity.clientId")
# Assign network contributor role to AGIC addon identity to subnet that contains the Application Gateway
az role assignment create --assignee $agicAddonIdentity --scope $appGatewaySubnetId --role "Network Contributor"
Per configurare altri parametri per il comando precedente, vedere az aks create.
Nota
Il cluster del servizio Azure Kubernetes creato verrà visualizzato nel gruppo di risorse creato, ovvero myResourceGroup. Tuttavia, l'istanza del gateway applicazione creata automaticamente si troverà nel gruppo di risorse del nodo, in cui si trovano i pool di agenti. Per impostazione predefinita, il nome del gruppo di risorse del nodo è MC_resource-group-name_cluster-name_location, ma può essere modificato.
Distribuire un'applicazione di esempio con Controller in ingresso del gateway applicazione
Verrà ora distribuita un'applicazione di esempio nel cluster del servizio Azure Kubernetes creato. L'applicazione userà il componente aggiuntivo Controller in ingresso del gateway applicazione per il traffico in ingresso e connetterà l'istanza del gateway applicazione al cluster del servizio Azure Kubernetes.
Per prima cosa, ottenere le credenziali per il cluster del servizio Azure Kubernetes eseguendo il comando az aks get-credentials:
az aks get-credentials -n myCluster -g myResourceGroup
Ora che le credenziali sono disponibili, eseguire il comando seguente per configurare un'applicazione di esempio che usa Controller in ingresso del gateway applicazione per il traffico in ingresso nel cluster. Controller in ingresso del gateway applicazione aggiornerà l'istanza del gateway applicazione, configurata in precedenza con le regole di gestione corrispondenti, all' applicazione di esempio distribuita.
kubectl apply -f https://raw.githubusercontent.com/Azure/application-gateway-kubernetes-ingress/master/docs/examples/aspnetapp.yaml
Verificare che l'applicazione sia raggiungibile
Ora che l'istanza del gateway applicazione è configurata in modo da gestire il traffico indirizzato al cluster del servizio Azure Kubernetes, verificare che l'applicazione sia raggiungibile. Ottenere innanzitutto l'indirizzo IP dell'ingresso:
kubectl get ingress
Verificare che l'applicazione di esempio creata sia in esecuzione in uno dei modi seguenti:
- Visitare l'indirizzo IP dell'istanza del gateway applicazione ottenuto eseguendo il comando precedente.
- Usare
curl.
Il recupero dell'aggiornamento del gateway applicazione può richiedere un minuto. Se il gateway applicazione si trova ancora nello stato Aggiornamento nel portale, attendere il completamento dell'operazione prima di provare a raggiungere l'indirizzo IP.
Pulire le risorse
Quando non sono più necessarie, eliminare tutte le risorse create in questa esercitazione eliminando i gruppi di risorse myResourceGroup e MC_myResourceGroup_myCluster_eastus:
az group delete --name myResourceGroup
az group delete --name MC_myResourceGroup_myCluster_eastus
Passaggi successivi
In questa esercitazione:
- Creare un nuovo cluster del servizio Azure Kubernetes con il componente aggiuntivo Controller in ingresso del gateway applicazione abilitato
- Distribuita un'applicazione di esempio usando Controller in ingresso del gateway applicazione per il traffico in ingresso nel cluster del servizio Azure Kubernetes
Per altre informazioni su AGIC, vedere Che cos'è il controller di ingresso del gateway applicazione e Disabilitare e riabilitare il componente aggiuntivo AGIC per il cluster del servizio Azure Kubernetes.
Per informazioni su come abilitare il componente aggiuntivo Controller in ingresso del gateway applicazione per un cluster del servizio Azure Kubernetes esistente con un gateway applicazione esistente, andare all'esercitazione successiva.