Guida introduttiva: Connessione un cluster Kubernetes esistente in Azure Arc
Per iniziare a usare Kubernetes abilitato per Azure Arc, usare l'interfaccia della riga di comando di Azure o Azure PowerShell per connettere un cluster Kubernetes esistente ad Azure Arc.
Per un'analisi concettuale sulla connessione dei cluster ad Azure Arc, vedere Panoramica dell'agente Kubernetes abilitato per Azure Arc. Per provare le attività in un'esperienza di esempio/pratica, visitare la guida introduttiva di Azure Arc.
Prerequisiti
Oltre a questi prerequisiti, assicurarsi di soddisfare tutti i requisiti di rete per Kubernetes abilitato per Azure Arc.
Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Conoscenza di base dei concetti di base di Kubernetes.
Identità (utente o entità servizio) che può essere usata per accedere all'interfaccia della riga di comando di Azure e connettere il cluster ad Azure Arc.
Versione più recente dell'interfaccia della riga di comando di Azure.
La versione più recente dell'estensione dell'interfaccia della riga di comando di Azure connectedk8s , installata eseguendo il comando seguente:
az extension add --name connectedk8s
Un cluster Kubernetes operativo. Se non è disponibile, è possibile creare un cluster usando una di queste opzioni:
Creare un cluster Kubernetes usando Docker per Mac o Windows
Cluster Kubernetes autogestito con l'API cluster
Nota
Il cluster deve avere almeno un nodo del sistema operativo e del tipo di
linux/amd64
architettura e/olinux/arm64
. Per altre informazioni sugli scenari ARM64, vedere Requisiti del cluster.
Almeno 850 MB gratuiti per gli agenti Arc che verranno distribuiti nel cluster e capacità di usare circa il 7% di una singola CPU.
Un file kubeconfig e un contesto che puntano al cluster.
Registrare provider per Kubernetes con abilitazione di Azure Arc
Immettere i comandi seguenti:
az provider register --namespace Microsoft.Kubernetes az provider register --namespace Microsoft.KubernetesConfiguration az provider register --namespace Microsoft.ExtendedLocation
Monitorare il processo di registrazione. La registrazione può richiedere fino a 10 minuti.
az provider show -n Microsoft.Kubernetes -o table az provider show -n Microsoft.KubernetesConfiguration -o table az provider show -n Microsoft.ExtendedLocation -o table
Dopo la registrazione, lo stato per questi spazi dei nomi verrà
RegistrationState
modificato inRegistered
.
Creare un gruppo di risorse
Esegui questo comando:
az group create --name AzureArcTest --location EastUS --output table
Output:
Location Name
---------- ------------
eastus AzureArcTest
Connessione un cluster Kubernetes esistente
Eseguire il comando seguente per connettere il cluster. Questo comando distribuisce gli agenti Azure Arc nel cluster e installa Helm v. 3.6.3 nella .azure
cartella del computer di distribuzione. Questa installazione di Helm 3 viene usata solo per Azure Arc e non rimuove o modifica le versioni di Helm installate in precedenza nel computer.
In questo esempio il nome del cluster è AzureArcTest1.
az connectedk8s connect --name AzureArcTest1 --resource-group AzureArcTest
Output:
Helm release deployment succeeded
{
"aadProfile": {
"clientAppId": "",
"serverAppId": "",
"tenantId": ""
},
"agentPublicKeyCertificate": "xxxxxxxxxxxxxxxxxxx",
"agentVersion": null,
"connectivityStatus": "Connecting",
"distribution": "gke",
"id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/AzureArcTest/providers/Microsoft.Kubernetes/connectedClusters/AzureArcTest1",
"identity": {
"principalId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenantId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"type": "SystemAssigned"
},
"infrastructure": "gcp",
"kubernetesVersion": null,
"lastConnectivityTime": null,
"location": "eastus",
"managedIdentityCertificateExpirationTime": null,
"name": "AzureArcTest1",
"offering": null,
"provisioningState": "Succeeded",
"resourceGroup": "AzureArcTest",
"tags": {},
"totalCoreCount": null,
"totalNodeCount": null,
"type": "Microsoft.Kubernetes/connectedClusters"
}
Suggerimento
Il comando precedente senza il parametro location specificato crea la risorsa Kubernetes abilitata per Azure Arc nella stessa posizione del gruppo di risorse. Per creare la risorsa Kubernetes abilitata per Azure Arc in un percorso diverso, specificare --location <region>
o -l <region>
quando si esegue il az connectedk8s connect
comando.
Importante
Se la distribuzione non riesce a causa di un errore di timeout, vedere la guida alla risoluzione dei problemi per informazioni dettagliate su come risolvere questo problema.
Connessione tramite un server proxy in uscita
Se il cluster si trova dietro un server proxy in uscita, le richieste devono essere instradate tramite il server proxy in uscita.
Nel computer di distribuzione impostare le variabili di ambiente necessarie per l'interfaccia della riga di comando di Azure per usare il server proxy in uscita:
export HTTP_PROXY=<proxy-server-ip-address>:<port> export HTTPS_PROXY=<proxy-server-ip-address>:<port> export NO_PROXY=<cluster-apiserver-ip-address>:<port>
Nel cluster Kubernetes eseguire il comando connect con i
proxy-https
parametri eproxy-http
specificati. Se il server proxy è configurato con HTTP e HTTPS, assicurarsi di usare--proxy-http
per il proxy HTTP e--proxy-https
per il proxy HTTPS. Se il server proxy usa solo HTTP, è possibile usare tale valore per entrambi i parametri.az connectedk8s connect --name <cluster-name> --resource-group <resource-group> --proxy-https https://<proxy-server-ip-address>:<port> --proxy-http http://<proxy-server-ip-address>:<port> --proxy-skip-range <excludedIP>,<excludedCIDR> --proxy-cert <path-to-cert-file>
Nota
- alcune richieste di rete, ad esempio quelle che coinvolgono la comunicazione da servizio a servizio nel cluster, devono essere separate dal traffico instradato tramite il server proxy per la comunicazione in uscita. Il
--proxy-skip-range
parametro può essere usato per specificare l'intervallo e gli endpoint CIDR in modo delimitato da virgole in modo che qualsiasi comunicazione dagli agenti a questi endpoint non venga eseguita tramite il proxy in uscita. Come valore minimo, l'intervallo CIDR dei servizi nel cluster deve essere specificato come valore per questo parametro. Si suppongakubectl get svc -A
, ad esempio, di restituire un elenco di servizi in cui tutti i servizi hanno valori ClusterIP nell'intervallo10.0.0.0/16
. Il valore da specificare per--proxy-skip-range
è10.0.0.0/16,kubernetes.default.svc,.svc.cluster.local,.svc
quindi . --proxy-http
,--proxy-https
e--proxy-skip-range
sono previsti per la maggior parte degli ambienti proxy in uscita.--proxy-cert
è obbligatorio solo se è necessario inserire certificati attendibili previsti dal proxy nell'archivio certificati attendibile dei pod agente.- Il proxy in uscita deve essere configurato per consentire le connessioni WebSocket.
Per i server proxy in uscita in cui è necessario specificare solo un certificato attendibile senza gli input dell'endpoint del server proxy, az connectedk8s connect
può essere eseguito solo con l'input --proxy-cert
specificato. Nel caso in cui siano previsti più certificati attendibili, la catena di certificati combinata può essere fornita in un singolo file usando il --proxy-cert
parametro .
Nota
--custom-ca-cert
è un alias per--proxy-cert
. Entrambi i parametri possono essere usati in modo intercambiabile. Il passaggio di entrambi i parametri nello stesso comando rispetta quello passato per ultimo.
Eseguire il comando connect con il --proxy-cert
parametro specificato:
az connectedk8s connect --name <cluster-name> --resource-group <resource-group> --proxy-cert <path-to-cert-file>
Verificare la connessione al cluster
Esegui questo comando:
az connectedk8s list --resource-group AzureArcTest --output table
Output:
Name Location ResourceGroup
------------- ---------- ---------------
AzureArcTest1 eastus AzureArcTest
Nota
Dopo l'onboarding del cluster, sono necessari da 5 a 10 minuti per visualizzare i metadati del cluster (versione del cluster, versione dell'agente, numero di nodi e così via) nella pagina di panoramica della risorsa Kubernetes abilitata per Azure Arc nel portale di Azure.
Suggerimento
Per informazioni sulla risoluzione dei problemi durante la connessione del cluster, vedere Diagnosticare i problemi di connessione per i cluster Kubernetes abilitati per Azure Arc.
Visualizzare gli agenti di Azure Arc per Kubernetes
Kubernetes abilitato per Azure Arc distribuisce diversi agenti nello spazio dei azure-arc
nomi.
Visualizzare le distribuzioni e i pod seguenti usando:
kubectl get deployments,pods -n azure-arc
Verificare che tutti i pod siano in
Running
uno stato.Output:
NAME READY UP-TO-DATE AVAILABLE AGE deployment.apps/cluster-metadata-operator 1/1 1 1 13d deployment.apps/clusterconnect-agent 1/1 1 1 13d deployment.apps/clusteridentityoperator 1/1 1 1 13d deployment.apps/config-agent 1/1 1 1 13d deployment.apps/controller-manager 1/1 1 1 13d deployment.apps/extension-manager 1/1 1 1 13d deployment.apps/flux-logs-agent 1/1 1 1 13d deployment.apps/kube-aad-proxy 1/1 1 1 13d deployment.apps/metrics-agent 1/1 1 1 13d deployment.apps/resource-sync-agent 1/1 1 1 13d NAME READY STATUS RESTARTS AGE pod/cluster-metadata-operator-9568b899c-2stjn 2/2 Running 0 13d pod/clusterconnect-agent-576758886d-vggmv 3/3 Running 0 13d pod/clusteridentityoperator-6f59466c87-mm96j 2/2 Running 0 13d pod/config-agent-7cbd6cb89f-9fdnt 2/2 Running 0 13d pod/controller-manager-df6d56db5-kxmfj 2/2 Running 0 13d pod/extension-manager-58c94c5b89-c6q72 2/2 Running 0 13d pod/flux-logs-agent-6db9687fcb-rmxww 1/1 Running 0 13d pod/kube-aad-proxy-67b87b9f55-bthqv 2/2 Running 0 13d pod/metrics-agent-575c565fd9-k5j2t 2/2 Running 0 13d pod/resource-sync-agent-6bbd8bcd86-x5bk5 2/2 Running 0 13d
Per altre informazioni su questi agenti, vedere Panoramica dell'agente Kubernetes abilitato per Azure Arc.
Pulire le risorse
È possibile eliminare la risorsa Kubernetes abilitata per Azure Arc, tutte le risorse di configurazione associate e tutti gli agenti in esecuzione nel cluster usando l'interfaccia della riga di comando di Azure usando il comando seguente:
az connectedk8s delete --name AzureArcTest1 --resource-group AzureArcTest
Se il processo di eliminazione non riesce, usare il comando seguente per forzare l'eliminazione (aggiungendo -y
se si vuole ignorare il prompt di conferma):
az connectedk8s delete -n AzureArcTest1 -g AzureArcTest --force
Questo comando può essere usato anche se si verificano problemi durante la creazione di una nuova distribuzione del cluster (a causa della mancata rimozione completa delle risorse create in precedenza).
Nota
L'eliminazione della risorsa Kubernetes abilitata per Azure Arc usando il portale di Azure rimuove tutte le risorse di configurazione associate, ma non rimuove gli agenti in esecuzione nel cluster. La procedura consigliata consiste nell'eliminare la risorsa Kubernetes abilitata per Azure Arc usando az connectedk8s delete
anziché eliminare la risorsa nella portale di Azure.
Passaggi successivi
- Informazioni su come distribuire le configurazioni usando GitOps con Flux v2.
- Risolvere i problemi comuni di Kubernetes abilitati per Azure Arc.
- Provare gli scenari automatizzati di Kubernetes abilitati per Azure Arc con Azure Arc Jumpstart.