Domande frequenti - Kubernetes e GitOps abilitati per Azure Arc

Questo articolo illustra le domande frequenti su Kubernetes e GitOps abilitati per Azure Arc.

Qual è la differenza tra Kubernetes abilitato per Azure Arc e servizio Azure Kubernetes (servizio Azure Kubernetes)?

Il servizio Azure Kubernetes è l'offerta Kubernetes gestita da Azure. Il servizio Azure Kubernetes semplifica la distribuzione di un cluster Kubernetes gestito in Azure eseguendo l'offload di gran parte della complessità e del sovraccarico operativo in Azure. Poiché i master Kubernetes sono gestiti da Azure, è possibile gestire e gestire solo i nodi dell'agente.

Kubernetes abilitato per Azure Arc consente di estendere le funzionalità di gestione di Azure (ad esempio Monitoraggio di Azure e Criteri di Azure) connettendo i cluster Kubernetes ad Azure. Si gestisce il cluster Kubernetes sottostante.

È necessario connettere i cluster del servizio Azure Kubernetes in esecuzione in Azure Ad Azure Arc?

Attualmente, la connessione di un cluster servizio Azure Kubernetes (servizio Azure Kubernetes) ad Azure Arc non è necessaria per la maggior parte degli scenari. È consigliabile connettere un cluster per eseguire determinati servizi abilitati per Azure Arc, ad esempio servizio app e Data Services all'interno del cluster. A tale scopo, è possibile usare la funzionalità percorsi personalizzati di Kubernetes con abilitazione di Azure Arc.

È necessario connettere il cluster AKS-HCI e i cluster Kubernetes in Azure Stack Edge ad Azure Arc?

Connessione il cluster AKS-HCI o i cluster Kubernetes in Azure Stack Edge in Azure Arc fornisce cluster con rappresentazione delle risorse in Azure Resource Manager. Questa rappresentazione delle risorse estende funzionalità come Configurazione cluster, Monitoraggio di Azure e Criteri di Azure (Gatekeeper) ai cluster Kubernetes connessi.

Se il cluster Kubernetes abilitato per Azure Arc si trova in Azure Stack Edge, servizio Azure Kubernetes in Azure Stack HCI (>= aggiornamento di aprile 2021) o servizio Azure Kubernetes in Windows Server 2019 Datacenter (>= aggiornamento di aprile 2021), la configurazione di Kubernetes viene inclusa gratuitamente.

Ricerca per categorie indirizzo scaduto delle risorse Kubernetes abilitate per Azure Arc?

L'identità gestita assegnata dal sistema associata al cluster Kubernetes abilitato per Azure Arc viene usata solo dagli agenti di Azure Arc per comunicare con i servizi Azure Arc. Il certificato associato a questa identità gestita assegnata dal sistema ha una finestra di scadenza di 90 giorni e gli agenti tenteranno di rinnovare il certificato tra il giorno 46 e il giorno 90. Per evitare che il certificato di identità gestita scada, assicurarsi che il cluster venga online almeno una volta tra il giorno 46 e il giorno 90 in modo che il certificato possa essere rinnovato.

Se il certificato di identità gestita scade, la risorsa viene considerata Expired e tutte le funzionalità di Azure Arc (ad esempio configurazione, monitoraggio e criteri) smetteranno di funzionare nel cluster.

Per verificare la scadenza del certificato di identità gestita per un determinato cluster, eseguire il comando seguente:

az connectedk8s show -n <name> -g <resource-group>

Nell'output il valore di managedIdentityCertificateExpirationTime indica quando il certificato di identità gestita scadrà (contrassegno 90D per tale certificato).

Se il valore di managedIdentityCertificateExpirationTime indica un timestamp del passato, il connectivityStatus campo nell'output precedente verrà impostato su Expired. In questi casi, per usare nuovamente il cluster Kubernetes con Azure Arc:

  1. Eliminare la risorsa e gli agenti Kubernetes abilitati per Azure Arc nel cluster.

    az connectedk8s delete -n <name> -g <resource-group>
    
  2. Ricreare la risorsa Kubernetes abilitata per Azure Arc distribuendo gli agenti nel cluster.

    az connectedk8s connect -n <name> -g <resource-group>
    

Nota

az connectedk8s delete eliminerà anche le configurazioni e le estensioni del cluster all'inizio del cluster. Dopo l'esecuzione az connectedk8s connectdi , ricreare le configurazioni e le estensioni del cluster nel cluster, manualmente o usando Criteri di Azure.

Se si usano già pipeline CI/CD, è comunque possibile usare le configurazioni Kubernetes o GitOps abilitate per Azure Arc?

Sì, è comunque possibile usare le configurazioni in un cluster che riceve distribuzioni tramite una pipeline CI/CD. Rispetto alle pipeline CI/CD tradizionali, le configurazioni di GitOps offrono alcuni vantaggi aggiuntivi.

Riconciliazione della deriva

La pipeline CI/CD applica le modifiche solo una volta durante l'esecuzione della pipeline. Tuttavia, l'operatore GitOps nel cluster esegue continuamente il polling del repository Git per recuperare lo stato desiderato delle risorse Kubernetes nel cluster. Se l'operatore GitOps trova lo stato desiderato delle risorse in modo che sia diverso dallo stato effettivo delle risorse nel cluster, questa deriva viene riconciliata.

Applicare GitOps su larga scala

Le pipeline CI/CD sono utili per le distribuzioni guidate dagli eventi nel cluster Kubernetes, ad esempio un push in un repository Git. Tuttavia, per distribuire la stessa configurazione in tutti i cluster Kubernetes, è necessario configurare manualmente le credenziali di ogni cluster Kubernetes nella pipeline CI/CD.

Per Kubernetes abilitato per Azure Arc, poiché Azure Resource Manager gestisce le configurazioni GitOps, è possibile automatizzare la creazione della stessa configurazione in tutte le risorse kubernetes e del servizio Azure Kubernetes abilitate per Azure Arc usando Criteri di Azure, nell'ambito di una sottoscrizione o di un gruppo di risorse. Questa funzionalità è applicabile anche alle risorse Kubernetes abilitate per Azure Arc e al servizio Azure Kubernetes create dopo l'assegnazione dei criteri.

Questa funzionalità applica configurazioni di base (ad esempio criteri di rete, associazioni di ruoli e criteri di sicurezza dei pod) nell'intero inventario del cluster Kubernetes per soddisfare i requisiti di conformità e governance.

Conformità del cluster

Lo stato di conformità di ogni configurazione di GitOps viene riportato in Azure. In questo modo è possibile tenere traccia di eventuali distribuzioni non riuscite.

Kubernetes abilitato per Azure Arc archivia i dati dei clienti all'esterno dell'area del cluster?

La funzionalità per abilitare l'archiviazione dei dati dei clienti in una singola area è attualmente disponibile solo nell'area Asia sud-orientale (Singapore) dell'area geografica Asia Pacifico e brasile meridionale (Stato di San Paolo) del Brasile geografico. Per tutte le altre aree i dati dei clienti vengono archiviati in Geo. Questo è applicabile alle estensioni Open Service Mesh abilitate per Azure Arc e provider di segreti di Azure Key Vault supportate in Kubernetes abilitato per Azure Arc. Per altre estensioni del cluster, vedere la documentazione per informazioni su come archiviare i dati dei clienti. Per altre informazioni, visitare il Centro protezione.

Passaggi successivi