Domande frequenti - Kubernetes e GitOps abilitati per Azure Arc
Questo articolo risponde alle domande frequenti relative a Kubernetes e Azure GitOps abilitate per Azure Arc.
Qual è la differenza tra Kubernetes con abilitazione di Azure Arc e il servizio Azure Kubernetes?
AKS è l'offerta di ambiente Kubernetes gestito di Azure. AKS semplifica la distribuzione di un cluster Kubernetes gestito in Azure tramite l'offload di gran parte della complessità e del sovraccarico operativo in Azure. Dal momento che i master Kubernetes sono gestiti da Azure, le attività di gestione e manutenzione riguardano solo i nodi agente.
Kubernetes con abilitazione di Azure Arc consente di estendere funzionalità di gestione di Azure, come Monitoraggio di Azure e Criteri di Azure, connettendo i cluster Kubernetes ad Azure. La manutenzione del cluster Kubernetes sottostante è a carico dell'utente.
È necessario connettere ad Azure Arc i cluster del servizio Azure Kubernetes (AKS) in esecuzione in Azure?
Attualmente, la connessione di un cluster del servizio Azure Kubernetes ad Azure Arc non è necessaria per la maggior parte degli scenari. È possibile connettere un cluster per eseguire determinati servizi abilitati per Azure Arc, ad esempio Servizi app e Servizi dati, oltre al cluster. A tale scopo, è possibile usare le funzionalità posizioni personalizzate di Kubernetes con abilitazione di Azure Arc.
È necessario connettere il cluster AKS-HCI e i cluster Kubernetes in Azure Stack Edge ad Azure Arc?
La connessione del cluster AKS-HCI o dei cluster Kubernetes in Azure Stack Edge ad Azure Arc fornisce cluster con rappresentazione delle risorse in Azure Resource Manager. Questa rappresentazione delle risorse estende funzionalità come la configurazione del cluster, Monitoraggio di Azure, Criteri di Azure (Gatekeeper) ai cluster Kubernetes connessi.
Se il cluster Kubernetes con abilitazione di Azure Arc si trova in Azure Stack Edge, nel servizio Azure Kubernetes in Azure Stack HCI (>= aggiornamento aprile 2021) o nel servizio Azure Kubernetes in Windows Server 2019 Datacenter (>= aggiornamento aprile 2021), la configurazione di Kubernetes è inclusa gratuitamente.
Come si gestiscono le risorse Kubernetes abilitate per Azure Arc scadute?
L'identità gestita assegnata dal sistema associata al cluster Kubernetes abilitato per Azure Arc viene usata solo dagli agenti di Azure Arc per comunicare con i servizi Azure Arc. Il certificato associato a questa identità gestita assegnata dal sistema ha una finestra di scadenza di 90 giorni e gli agenti tenteranno di rinnovare il certificato tra il giorno 46 e il giorno 90. Per evitare che il certificato di identità gestita scada, assicurarsi che il cluster sia online almeno una volta tra il giorno 46 e il giorno 90 in modo che il certificato possa essere rinnovato.
Se il certificato di identità gestita scade, la risorsa viene considerata Expired e tutte le funzionalità di Azure Arc (ad esempio configurazione, monitoraggio e criteri) smetteranno di funzionare nel cluster.
Per verificare la scadenza del certificato di identità gestita per un determinato cluster, eseguire il comando seguente:
az connectedk8s show -n <name> -g <resource-group>
Nell'output il valore del managedIdentityCertificateExpirationTime indica quando il certificato di identità gestita scadrà (contrassegno 90G per tale certificato).
Se il valore di managedIdentityCertificateExpirationTime indica un timestamp in passato, il campo connectivityStatus nell'output su citato verrà impostato su Expired. In questi casi, per usare nuovamente il cluster Kubernetes con Azure Arc:
Eliminare la risorsa e gli agenti Kubernetes abilitati per Azure Arc nel cluster.
az connectedk8s delete -n <name> -g <resource-group>Ricreare la risorsa e gli agenti Kubernetes abilitati per Azure Arc distribuendo gli agenti nel cluster.
az connectedk8s connect -n <name> -g <resource-group>
Nota
az connectedk8s delete elimineranno anche le configurazioni e le estensioni del cluster all'inizio del cluster. Dopo aver eseguito az connectedk8s connect, ricreare le configurazioni e le estensioni del cluster nel cluster, manualmente o utilizzando Criteri di Azure.
Se si usano già pipeline CI/CD, è comunque possibile usare le configurazioni Kubernetes o GitOps abilitate per Azure Arc?
Sì, è comunque possibile usare le configurazioni in un cluster che riceve distribuzioni tramite una pipeline CI/CD. Rispetto alle pipeline CI/CD tradizionali, le configurazioni di GitOps offrono alcuni vantaggi aggiuntivi.
Riconciliazione della deriva dei dati
La pipeline CI/CD applica le modifiche solo una volta durante l'esecuzione della pipeline. Tuttavia, l'operatore GitOps nel cluster esegue continuamente il polling del repository Git per recuperare lo stato desiderato delle risorse Kubernetes nel cluster. Se l'operatore GitOps trova lo stato desiderato delle risorse differente dallo stato effettivo delle risorse nel cluster, questa deriva viene riconciliata.
Applicare GitOps su larga scala
Le pipeline CI/CD sono utili per le distribuzioni guidate dagli eventi nel cluster Kubernetes, ad esempio un push in un repository Git. Tuttavia, per distribuire la stessa configurazione in tutti i cluster Kubernetes, è necessario configurare manualmente le credenziali di ogni cluster Kubernetes nella pipeline CI/CD.
Per le risorse Kubernetes abilitate per Azure Arc, poiché Azure Resource Manager gestisce le configurazioni GitOps, è possibile automatizzare la creazione della stessa configurazione in tutte le risorse Kubernetes abilitate per Azure Arc e in servizio Azure Kubernetes (AKS) usando Criteri di Azure, nell'ambito di una sottoscrizione o di un gruppo di risorse. Questa funzionalità è applicabile anche alle risorse Kubernetes abilitate per Azure Arc e al servizio Azure Kubernetes create dopo l'assegnazione dei criteri.
Questa funzionalità applica configurazioni di base (ad esempio criteri di rete, associazioni di ruoli e criteri di sicurezza dei pod) nell'intero inventario del cluster Kubernetes per soddisfare i requisiti di conformità e governance.
Conformità del cluster
Lo stato di conformità di ogni configurazione GitOps viene riportato in Azure. In questo modo è possibile tenere traccia di eventuali distribuzioni non riuscite.
Risorse Kubernetes abilitate per Azure Arc archivia i dati dei clienti all'esterno dell'area del cluster?
La funzionalità per abilitare l'archiviazione dei dati dei clienti in una singola area è attualmente disponibile solo nell'area Asia sud-orientale (Singapore) dell'area geografica Asia Pacifico e nell'area Brasile meridionale (stato di San Paolo) dell'area geografica Brasile. Per tutte le altre aree i dati dei clienti vengono archiviati in Geo. Questo è applicabile alle estensioni Open Service Mesh abilitate per Azure Arc e ai provider di segreti di Azure Key Vault supportate in Kubernetes abilitato per Azure Arc. Per altre estensioni del cluster, vedere la documentazione per informazioni su come archiviare i dati dei clienti. Per altre informazioni, visitare il Centro protezione.
Passaggi successivi
- Consultare la guida introduttiva per connettere un cluster Kubernetes ad Azure Arc.
- Esiste già un cluster del servizio Azure Kubernetes o per un cluster Kubernetes abilitato per Azure Arc? Creare configurazioni GitOps nel cluster Kubernetes abilitato per Azure Arc.
- Informazioni su come configurare una pipeline CI/CD con GitOps.
- Informazioni su come usare Criteri di Azure per applicare le configurazioni su larga scala.
- Provare gli scenari automatizzati di Kubernetes abilitati per Azure Arc con Azure Arc Jumpstart.