Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: ✔️ Gestione flotta con un cluster hub
Se la risorsa di Gestione flotta Kubernetes di Azure (flotta Kubernetes) è stata creata con un cluster hub, è possibile usarla per controllare in modo centralizzato scenari come la propagazione delle risorse Kubernetes. Questo articolo illustra come accedere all'API Kubernetes per un cluster hub di Flotta Kubernetes.
Prima di iniziare
- Se non si ha un account Azure, creare un account gratuito prima di iniziare.
- È necessaria una risorsa flotta Kubernetes con un cluster hub e cluster membri. Se non è disponibile, vedere Creare una risorsa di Gestione flotta Kubernetes di Azure e aggiungere cluster membri usando l'interfaccia della riga di comando di Azure.
- L'identità (utente o entità servizio) usata deve disporre delle autorizzazioni Microsoft.ContainerService/fleets/listCredentials/action per la risorsa Flotta Kubernetes.
Se la risorsa di Azure Kubernetes Fleet Manager (Kubernetes Fleet) è stata creata con un cluster hub privato, è possibile usarla per controllare in modo centralizzato scenari come la propagazione delle risorse Kubernetes. Questo articolo illustra come accedere all'API Kubernetes per un cluster hub Kubernetes privato in modo sicuro usando la funzionalità di tunneling client nativo di Azure Bastion.
L'uso di Azure Bastion protegge il cluster hub privato dall'esposizione di endpoint all'esterno, garantendo comunque l'accesso sicuro. Per altre informazioni, vedere Che cos'è Azure Bastion?
Prima di iniziare
- Se non si ha un account Azure, creare un account gratuito prima di iniziare.
- È necessaria una risorsa flotta Kubernetes con un cluster hub e cluster membri. Se non è disponibile, vedere Creare una risorsa di Gestione flotta Kubernetes di Azure e aggiungere cluster membri usando l'interfaccia della riga di comando di Azure.
- È necessaria una rete virtuale con l'host Bastion già installato.
- Assicurarsi di aver configurato un host Azure Bastion per la rete virtuale in cui si trova Fleet Manager. Per configurare un host Azure Bastion, vedere Avvio rapido: Distribuire Bastion con le impostazioni predefinite.
- Bastion deve essere SKU Standard o Premium e avere il supporto client nativo abilitato nelle impostazioni di configurazione.
- L'identità (utente o principale del servizio) usata deve avere:
- Autorizzazioni Microsoft.ContainerService/fleets/listCredentials/action sulla risorsa Kubernetes Fleet.
- Microsoft.Network/bastionHosts/read nella risorsa Bastion.
- Microsoft.Network/virtualNetworks/read nella rete virtuale del cluster dell'hub privato.
Accedere all'API Kubernetes
Impostare le variabili di ambiente seguenti per l'ID sottoscrizione, il gruppo di risorse e la risorsa Flotta Kubernetes:
export SUBSCRIPTION_ID=<subscription-id> export GROUP=<resource-group-name> export FLEET=<fleet-name>Impostare la sottoscrizione di Azure predefinita usando il comando
az account set:az account set --subscription ${SUBSCRIPTION_ID}Ottenere il file kubeconfig del cluster hub di Flotta Kubernetes usando il comando
az fleet get-credentials:az fleet get-credentials --resource-group ${GROUP} --name ${FLEET}L'output dovrebbe essere simile all'esempio seguente:
Merged "hub" as current context in /home/fleet/.kube/configImpostare la variabile di ambiente seguente per il valore
FLEET_IDdella risorsa Flotta Kubernetes del cluster hub:export FLEET_ID=/subscriptions/${SUBSCRIPTION_ID}/resourceGroups/${GROUP}/providers/Microsoft.ContainerService/fleets/${FLEET}Autorizzare l'identità ad accedere al cluster hub di Flotta Kubernetes usando i comandi seguenti.
Per la variabile di ambiente
ROLE, è possibile usare una delle quattro definizioni di ruolo predefinite seguenti come valore:- Reader di Controllo degli accessi in base al ruolo di Gestione flotta Kubernetes di Azure
- Writer di Controllo degli accessi in base al ruolo di Gestione flotta Kubernetes di Azure
- Admin di Controllo degli accessi in base al ruolo di Gestione flotta Kubernetes di Azure
- Admin del cluster di Controllo degli accessi in base al ruolo di Gestione flotta Kubernetes di Azure
export IDENTITY=$(az ad signed-in-user show --query "id" --output tsv) export ROLE="Azure Kubernetes Fleet Manager RBAC Cluster Admin" az role assignment create --role "${ROLE}" --assignee ${IDENTITY} --scope ${FLEET_ID}L'output dovrebbe essere simile all'esempio seguente:
{ "canDelegate": null, "condition": null, "conditionVersion": null, "description": null, "id": "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<GROUP>/providers/Microsoft.ContainerService/fleets/<FLEET>/providers/Microsoft.Authorization/roleAssignments/<assignment>", "name": "<name>", "principalId": "<id>", "principalType": "User", "resourceGroup": "<GROUP>", "roleDefinitionId": "/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69", "scope": "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<GROUP>/providers/Microsoft.ContainerService/fleets/<FLEET>", "type": "Microsoft.Authorization/roleAssignments" }
Verificare di poter accedere al server API usando il comando
kubectl get memberclusters:kubectl get memberclustersSe il comando ha esito positivo, l'output dovrebbe essere simile all'esempio seguente:
NAME JOINED AGE aks-member-1 True 2m aks-member-2 True 2m aks-member-3 True 2m
Aprire il tunnel al cluster hub di Private Fleet Manager:
export HUB_CLUSTER_ID=<hub-cluster-id-in-FL_resourceGroup> az network bastion tunnel --name <BastionName> --resource-group ${GROUP} --target-resource-id ${HUB_CLUSTER_ID}$ --resource-port 443 --port <LocalMachinePort>In una nuova finestra del terminale connettersi al cluster hub tramite il tunnel Bastion e verificare l'accesso al server API:
kubectl get memberclusters --server=https://localhost:<LocalMachinePort>Se il comando ha esito positivo, l'output dovrebbe essere simile all'esempio seguente:
NAME JOINED AGE aks-member-1 True 2m aks-member-2 True 2m aks-member-3 True 2m