Systeemvereisten voor AKS die worden ingeschakeld door Azure Arc op Azure Stack HCI 22H2

Van toepassing op: Azure Stack HCI, versies 22H2; Windows Server 2022, Windows Server 2019

In dit artikel worden de vereisten beschreven voor het instellen van Azure Kubernetes Service (AKS) die wordt ingeschakeld door Azure Arc. Zie het overzicht van AKS voor een overzicht van AKS die wordt ingeschakeld door Arc.

Hardwarevereisten

Microsoft raadt aan om een gevalideerde Azure Stack HCI-hardware-/softwareoplossing aan te schaffen bij onze partners. Deze oplossingen zijn ontworpen, geassembleerd en gevalideerd om onze referentiearchitectuur uit te voeren en om de compatibiliteit en betrouwbaarheid te controleren, zodat u snel aan de slag kunt. Controleer of de systemen, onderdelen, apparaten en stuurprogramma's die u gebruikt, Windows Server-gecertificeerd zijn volgens de Windows Server-catalogus. Zie de website met Azure Stack HCI-oplossingen voor gevalideerde oplossingen.

Belangrijk

De hostsystemen voor productie-implementaties moeten fysieke hardware zijn. Geneste virtualisatie, die wordt gekenmerkt als het implementeren van Azure Stack HCI of Windows Server op een virtuele machine en het installeren van AKS op die virtuele machine, wordt niet ondersteund.

Maximum aantal ondersteunde hardwarespecificaties

AKS in Azure Stack HCI- en Windows Server-implementaties die de volgende specificaties overschrijden, worden niet ondersteund:

Resource	Maximum
Fysieke servers per cluster	8 (Azure Stack HCI versie 22H2 en Windows Server)
Totaal aantal VM's	200

Rekenvereisten

Minimale geheugenvereisten

U kunt uw AKS-cluster op de volgende manier instellen om AKS uit te voeren op één knooppunt Windows Server met beperkt RAM-geheugen:

Clustertype	VM-grootte van besturingsvlak	Werkknooppunt	Voor updatebewerkingen	Load balancer
AKS-host	Standard_A4_v2 VM-grootte = 8 GB	N.v.t. : de AKS-host heeft geen werkknooppunten.	8 GB	N.v.v.: de AKS-host maakt gebruik van kubevip voor taakverdeling.
Workloadcluster	Standard_A4_v2 VM-grootte = 8 GB	Standard_K8S3_v1 voor 1 werkknooppunt = 6 GB	Kan deze gereserveerde 8 GB opnieuw gebruiken voor de upgrade van het workloadcluster.	N.v.v. als kubevip wordt gebruikt voor taakverdeling (in plaats van de standaard LOAD Balancer HAProxy).

Totale minimale vereiste: 30 GB RAM.

Deze minimale vereiste is voor een AKS-implementatie met één werkknooppunt voor het uitvoeren van containertoepassingen. Als u ervoor kiest om werkknooppunten of een HAProxy-load balancer toe te voegen, wordt de uiteindelijke RAM-vereiste dienovereenkomstig gewijzigd.

Aanbevolen rekenvereisten

Omgeving	CPU-kernen per server	RAM
Azure Stack HCI	32	256 GB
Windows Server-failovercluster	32	256 GB
Windows Server met één knooppunt	16	128 GB

Voor een productieomgeving is de uiteindelijke grootte afhankelijk van de toepassing en het aantal werkknooppunten dat u wilt implementeren in het Azure Stack HCI- of Windows Server-cluster. Als u ervoor kiest om AKS uit te voeren op een Windows Server met één knooppunt, krijgt u geen functies zoals hoge beschikbaarheid die worden geleverd bij het uitvoeren van AKS op een Azure Stack HCI- of Windows Server-cluster of Windows Server-failovercluster.

Andere rekenvereisten voor AKS in Azure Stack HCI en Windows Server zijn in overeenstemming met azure Stack HCI-vereisten. Zie Systeemvereisten voor Azure Stack HCI voor meer informatie over azure stack HCI-serververeisten.

U moet hetzelfde besturingssysteem installeren op elke server in het cluster. Als u Azure Stack HCI gebruikt, moeten hetzelfde besturingssysteem en dezelfde versie zich op elke server in het cluster bevinden. Als u Windows Server Datacenter gebruikt, moeten hetzelfde besturingssysteem en dezelfde versie hetzelfde zijn op elke server in het cluster. Elk besturingssysteem moet de regio- en taalselecties en-us gebruiken. U kunt deze instellingen niet wijzigen na de installatie.

Opslagvereisten

AKS in Azure Stack HCI en Windows Server ondersteunen de volgende opslag-implementaties:

Name	Opslagtype	Vereiste capaciteit
Azure Stack HCI-cluster	Gedeelde clustervolumes	1 TB
Windows Server Datacenter-failovercluster	Gedeelde clustervolumes	1 TB
Windows Server Datacenter met één knooppunt	Direct gekoppelde opslag	500 GB

Voor een Azure Stack HCI- of Windows Server-cluster zijn er twee ondersteunde opslagconfiguraties voor het uitvoeren van workloads van virtuele machines:

• Hybride opslag zorgt voor een balans tussen prestaties en capaciteit met behulp van flashopslag en harde schijven (HDD's).
• All-flash-opslag maximaliseert de prestaties met SSD's (Solid-State Drives) of NVMe.

Systemen die alleen op HDD gebaseerde opslag hebben, worden niet ondersteund door Azure Stack HCI en worden daarom niet aanbevolen voor het uitvoeren van AKS op Azure Stack HCI en Windows Server. Zie de Documentatie van Azure Stack HCI voor meer informatie over de aanbevolen stationsconfiguraties. Alle systemen die zijn gevalideerd in de Azure Stack HCI-catalogus , vallen in een van deze twee ondersteunde opslagconfiguraties.

Kubernetes gebruikt etcd om de status van de clusters op te slaan. Etcd slaat de configuratie, specificaties en status van actieve pods op. Bovendien gebruikt Kubernetes het archief voor servicedetectie. Als coördinerend onderdeel van de werking van Kubernetes en de workloads die het ondersteunt, zijn latentie en doorvoer naar etcd essentieel. U moet AKS uitvoeren op een SSD. Zie Prestaties op etcd.io voor meer informatie.

Voor een Windows Server Datacenter-cluster kunt u implementeren met lokale opslag of op SAN gebaseerde opslag. Voor lokale opslag is het raadzaam om de ingebouwde Opslagruimten Direct of een equivalente gecertificeerde virtuele SAN-oplossing te gebruiken om een hypergeconvergeerde infrastructuur te maken die gedeelde clustervolumes presenteert voor gebruik door workloads. Voor Opslagruimten Direct is het vereist dat uw opslag hybride (flash + HDD) is die een balans biedt tussen prestaties en capaciteit, of all-flash (SSD, NVMe) dat de prestaties maximaliseert. Als u ervoor kiest om te implementeren met op SAN gebaseerde opslag, moet u ervoor zorgen dat uw SAN-opslag voldoende prestaties kan leveren om verschillende workloads van virtuele machines uit te voeren. Oudere SAN-opslag op basis van hdd's levert mogelijk niet de vereiste prestatieniveaus voor het uitvoeren van meerdere workloads van virtuele machines en er kunnen prestatieproblemen en time-outs optreden.

Voor Windows Server-implementaties met één knooppunt die gebruikmaken van lokale opslag, wordt het gebruik van all-flash-opslag (SSD, NVMe) ten zeerste aanbevolen om de vereiste prestaties te leveren voor het hosten van meerdere virtuele machines op één fysieke host. Zonder flashopslag kunnen de lagere prestatieniveaus op HDD's implementatieproblemen en time-outs veroorzaken.

Netwerkvereisten

De volgende vereisten zijn van toepassing op een Azure Stack HCI 22H2-cluster en een Windows Server Datacenter-cluster. Zie Netwerkvereisten voor netwerkvereisten voor Azure Stack HCI 23H2.

• Controleer voor Azure Stack HCI 22H2 en Windows Server of u een bestaande, externe virtuele switch hebt geconfigureerd als u Windows Admin Center gebruikt. Voor HCI- of Windows Server-clusters moeten deze schakeloptie en de naam ervan hetzelfde zijn op alle clusterknooppunten. Zie de netwerksysteemvereisten voor HCI 23H2.
• Controleer of u IPv6 hebt uitgeschakeld op alle netwerkadapters.
• Voor een geslaagde implementatie moeten de Azure Stack HCI- of Windows Server-clusterknooppunten en de Kubernetes-cluster-VM's een externe internetverbinding hebben.
• Zorg ervoor dat alle subnetten die u voor het cluster definieert, routeerbaar zijn tussen elkaar en naar internet.
• Zorg ervoor dat er netwerkconnectiviteit is tussen Azure Stack HCI-hosts en de tenant-VM's.
• DNS-naamomzetting is vereist voor alle knooppunten om met elkaar te kunnen communiceren.
• (Aanbevolen) Schakel dynamische DNS-updates in uw DNS-omgeving in, zodat AKS de algemene clusternaam van de cloudagent kan registreren in het DNS-systeem voor detectie.

IP-adrestoewijzing

In AKS die is ingeschakeld door Arc, worden virtuele netwerken gebruikt om IP-adressen toe te wijzen aan de Kubernetes-resources die deze nodig hebben, zoals eerder vermeld. Er zijn twee netwerkmodellen waaruit u kunt kiezen, afhankelijk van de gewenste AKS-netwerkarchitectuur.

Notitie

De virtuele netwerkarchitectuur die hier voor uw AKS-implementaties is gedefinieerd, verschilt van de onderliggende fysieke netwerkarchitectuur in uw datacenter.

• Statische IP-netwerken: Het virtuele netwerk wijst statische IP-adressen toe aan de API-server van het Kubernetes-cluster, Kubernetes-knooppunten, onderliggende VM's, load balancers en eventuele Kubernetes-services die u uitvoert op uw cluster.
• DHCP-netwerken: Het virtuele netwerk wijst dynamische IP-adressen toe aan de Kubernetes-knooppunten, onderliggende VM's en load balancers met behulp van een DHCP-server. De Kubernetes-cluster-API-server en alle Kubernetes-services die u uitvoert op uw cluster, worden nog steeds toegewezen aan statische IP-adressen.

Minimale IP-adresreservering

U moet minimaal het volgende aantal IP-adressen reserveren voor uw implementatie:

Clustertype	Besturingsvlakknooppunt	Werkknooppunt	Voor updatebewerkingen	Load balancer
AKS-host	1 IP	NA	2 IP	NA
Workloadcluster	1 IP per knooppunt	1 IP per knooppunt	5 IP	1 IP

Daarnaast moet u het volgende aantal IP-adressen reserveren voor uw VIP-groep:

Resourcetype	Aantal IP-adressen
Cluster-API-server	1 per cluster
Kubernetes-services	1 per service

Zoals u ziet, is het aantal vereiste IP-adressen variabel, afhankelijk van de AKS-architectuur en het aantal services dat u uitvoert op uw Kubernetes-cluster. U wordt aangeraden in totaal 256 IP-adressen (/24 subnet) te reserveren voor uw implementatie.

Zie concepten voor knooppuntnetwerken in AKS en containernetwerkconcepten in AKS voor meer informatie over netwerkvereisten.

Vereisten voor netwerkpoort en URL

AKS ingeschakeld door Arc-vereisten

Bij het maken van een Kubernetes-cluster in Azure Stack HCI worden de volgende firewallpoorten automatisch geopend op elke server in het cluster.

Als de fysieke clusterknooppunten van Azure Stack HCI en de azure Kubernetes-cluster-VM's zich op twee geïsoleerde vlans bevinden, moeten deze poorten worden geopend in de firewall ertussen:

Poort	Bron	Beschrijving	Firewallnotities
22	AKS-VM's	Vereist voor het verzamelen van logboeken bij gebruik van Get-AksHciLogs.	Als u afzonderlijke VLAN's gebruikt, moeten de fysieke Hyper-V-hosts toegang hebben tot de AKS-VM's op deze poort.
6443	AKS-VM's	Vereist om te communiceren met Kubernetes-API's.	Als u afzonderlijke VLAN's gebruikt, moeten de fysieke Hyper-V-hosts toegang hebben tot de AKS-VM's op deze poort.
45000	Fysieke Hyper-V-hosts	wssdAgent gRPC-server.	Er zijn geen regels voor meerdere VLAN's nodig.
45001	Fysieke Hyper-V-hosts	wssdAgent gRPC-verificatie.	Er zijn geen regels voor meerdere VLAN's nodig.
46000	AKS-VM's	wssdCloudAgent naar lbagent.	Als u afzonderlijke VLAN's gebruikt, moeten de fysieke Hyper-V-hosts toegang hebben tot de AKS-VM's op deze poort.
55000	Clusterresource (-CloudServiceCIDR)	Cloud Agent gRPC-server.	Als u afzonderlijke VLAN's gebruikt, moeten de AKS-VM's toegang krijgen tot het IP-adres van de clusterresource op deze poort.
65000	Clusterresource (-CloudServiceCIDR)	Cloud Agent gRPC-verificatie.	Als u afzonderlijke VLAN's gebruikt, moeten de AKS-VM's toegang krijgen tot het IP-adres van de clusterresource op deze poort.

Als voor uw netwerk het gebruik van een proxyserver is vereist om verbinding te maken met internet, raadpleegt u Proxyserverinstellingen gebruiken in AKS.

Tabel

De volgende URL's moeten worden toegevoegd aan uw acceptatielijst:

URL	Poort	Notities
msk8s.api.cdp.microsoft.com	443	Wordt gebruikt bij het downloaden van de AKS op Azure Stack HCI-productcatalogus, productbits en installatiekopieën van het besturingssysteem van SFS. Treedt op tijdens het uitvoeren Set-AksHciConfig en op elk moment dat u downloadt van SFS.
msk8s.b.tlu.dl.delivery.mp.microsoft.com msk8s.f.tlu.dl.delivery.mp.microsoft.com	80	Wordt gebruikt bij het downloaden van de AKS op Azure Stack HCI-productcatalogus, productbits en installatiekopieën van het besturingssysteem van SFS. Treedt op tijdens het uitvoeren Set-AksHciConfig en op elk moment dat u downloadt van SFS.
login.microsoftonline.com login.windows.net management.azure.com msft.sts.microsoft.com graph.windows.net	443	Wordt gebruikt voor het aanmelden bij Azure bij het uitvoeren van Set-AksHciRegistration.
ecpacr.azurecr.io mcr.microsoft.com *.mcr.microsoft.com *.data.mcr.microsoft.com *.blob.core.windows.net US endpoint: wus2replica*.blob.core.windows.net	443	Vereist voor het ophalen van containerinstallatiekopieën bij het uitvoeren van Install-AksHci.
<region.dp.kubernetesconfiguration.azure.com>	443	Vereist voor onboarding van hybride AKS-clusters naar Azure Arc.
gbl.his.arc.azure.com	443	Vereist om het regionale eindpunt op te halen voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten.
*.his.arc.azure.com	443	Vereist voor het ophalen van door het systeem toegewezen beheerde identiteit-certificaten.
k8connecthelm.azureedge.net	443	Kubernetes met Arc maakt gebruik van Helm 3 om Azure Arc-agents te implementeren op het AKS-HCI-beheercluster. Dit eindpunt is nodig voor het downloaden van de Helm-client om de implementatie van de Helm-grafiek van de agent te vergemakkelijken.
*.arc.azure.net	443	Vereist voor het beheren van hybride AKS-clusters in Azure Portal.
dl.k8s.io	443	Vereist voor het downloaden en bijwerken van binaire Kubernetes-bestanden voor Azure Arc.
akshci.azurefd.net	443	Vereist voor AKS op Azure Stack HCI-facturering bij het uitvoeren van Install-AksHci.
v20.events.data.microsoft.com gcs.prod.monitoring.core.windows.net	443	Wordt periodiek gebruikt om vereiste diagnostische gegevens van Microsoft te verzenden vanaf de Azure Stack HCI- of Windows Server-host.

Json

U kunt de acceptatielijst voor firewall-URL-uitzonderingen knippen en plakken:

[{
    "URL": "msk8s.api.cdp.microsoft.com",
    "Port": "443 ",
    "Notes": "Used when downloading the AKS on Azure Stack HCI product catalog, product bits, and OS images from SFS.Occurs when running `Set-AksHciConfig` and at any time you download from SFS."
}, {
    "URL": "msk8s.b.tlu.dl.delivery.mp.microsoft.com",
    "Port": "80",
    "Notes": "Used when downloading the AKS on Azure Stack HCI product catalog, product bits, and OS images from SFS. Occurs when running `Set-AksHciConfig` and at any time you download from SFS."
}, {
    "URL": "msk8s.f.tlu.dl.delivery.mp.microsoft.com",
    "Port": "80",
    "Notes": "Used when downloading the AKS on Azure Stack HCI product catalog, product bits, and OS images from SFS. Occurs when running `Set-AksHciConfig` and at any time you download from SFS."
}, {
    "URL": "login.microsoftonline.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "login.windows.net",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "management.azure.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "www.microsoft.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "msft.sts.microsoft.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "graph.windows.net",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "ecpacr.azurecr.io",
    "Port": "443",
    "Notes": "Required to pull container images when running `Install-AksHci`."
}, {
    "URL": "*.blob.core.windows.net  US endpoint: wus2replica*.blob.core.windows.net",
    "Port": "443",
    "Notes": "Required to pull container images when running `Install-AksHci`."
}, {
    "URL": "mcr.microsoft.com, *.mcr.microsoft.com",
    "Port": "443",
    "Notes": "Required to pull container images when running `Install-AksHci`."
}, {
    "URL": "akshci.azurefd.net",
    "Port": "443",
    "Notes": "Required for AKS on Azure Stack HCI billing when running `Install-AksHci`."
}, {
    "URL": "v20.events.data.microsoft.com",
    "Port": "443",
    "Notes": "Used periodically to send Microsoft required diagnostic data from the Azure Stack HCI or Windows Server host."
}, {
    "URL": "gcs.prod.monitoring.core.windows.net",
    "Port": "443",
    "Notes": "Used periodically to send Microsoft required diagnostic data from control plane nodes."
}]

Download de URL-acceptatielijst (json).

Notitie

AKS die wordt ingeschakeld door Arc slaat klantgegevens op en verwerkt deze. Standaard blijven klantgegevens binnen de regio waarin de klant het service-exemplaar implementeert. Deze gegevens worden opgeslagen in regionale door Microsoft beheerde datacenters. Voor regio's met vereisten voor gegevenslocatie worden klantgegevens altijd binnen dezelfde regio bewaard.

Aanvullende URL-vereisten voor Azure Arc-functies

De vorige URL-lijst bevat de minimaal vereiste URL's om uw AKS-service te verbinden met Azure voor facturering. U moet aanvullende URL's toestaan als u clusterverbinding, aangepaste locaties, Azure RBAC en andere Azure-services, zoals Azure Monitor, enzovoort wilt gebruiken op uw AKS-workloadcluster. Zie Kubernetes-netwerkvereisten met Azure Arc voor een volledige lijst met Arc-URL's.

U moet ook Azure Stack HCI-URL's bekijken. Aangezien Arc voor serveragents nu standaard wordt geïnstalleerd op Azure Stack HCI-knooppunten van Azure Stack HCI 21H2 en hoger, moet u ook de URL's van Arc voor serveragents bekijken.

Stretched clusters in AKS

Zoals wordt beschreven in het overzicht van stretched clusters, wordt het implementeren van AKS op Azure Stack HCI en Windows Server met behulp van Windows stretched-clusters niet ondersteund. We raden u aan een back-up en herstel na noodgevallen te gebruiken voor de operationele continuïteit van uw datacenter. Zie Back-up of herstel van workloadclusters uitvoeren met Velero en Azure Blob Storage op Azure Stack HCI en Windows Server enConfiguraties implementeren op AksHci met GitOps met Flux v2 voor toepassingscontinuïteit voor meer informatie.

vereisten voor Windows Admin Center

Windows Admin Center is de gebruikersinterface voor het maken en beheren van AKS die is ingeschakeld door Azure Arc. Als u Windows Admin Center wilt gebruiken met AKS in Azure Stack HCI en Windows Server, moet u voldoen aan alle criteria in de volgende lijst.

Dit zijn de vereisten voor de computer waarop de Windows Admin Center-gateway wordt uitgevoerd:

• Windows 10 of Windows Server.
• Geregistreerd bij Azure.
• In hetzelfde domein als het Azure Stack HCI- of Windows Server Datacenter-cluster.
• Een Azure-abonnement waarvoor u eigendomsrechten hebt. U kunt uw toegangsniveau controleren door naar uw abonnement te navigeren en Aan de linkerkant van de Azure Portal Toegangsbeheer (IAM) te selecteren en vervolgens Mijn toegang weergeven te selecteren.

Azure-vereisten

U moet verbinding maken met uw Azure-account.

Azure-account en -abonnement

Als u nog geen Azure-account hebt, maakt u er een. U kunt een bestaand abonnement van elk type gebruiken:

• Gratis account met Azure-tegoed voor studenten of Visual Studio-abonnees.
• Betalen per gebruik-abonnement met creditcard.
• Abonnement verkregen via een Enterprise Agreement (EA).
• Abonnement verkregen via het CSP-programma (Cloud Solution Provider).

Microsoft Entra machtigingen, rol en toegangsniveau

U moet voldoende machtigingen hebben om een toepassing te registreren bij uw Microsoft Entra-tenant.

Volg de onderstaande informatie om te controleren of u voldoende machtigingen hebt:

• Ga naar de Azure Portal en selecteer Rollen en beheerders onder Microsoft Entra ID om uw rol te controleren.
• Als uw rol Gebruiker is, moet u ervoor zorgen dat niet-beheerders toepassingen kunnen registreren.
• Als u wilt controleren of u toepassingen kunt registreren, gaat u naar Gebruikersinstellingen onder de Microsoft Entra-service om te controleren of u gemachtigd bent om een toepassing te registreren.

Als de instelling voor app-registraties is ingesteld op Nee, kunnen alleen gebruikers met een beheerdersrol deze typen toepassingen registreren. Zie ingebouwde rollen Microsoft Entra voor meer informatie over de beschikbare beheerdersrollen en de specifieke machtigingen in Microsoft Entra ID die aan elke rol worden verleend. Als aan uw account de rol Gebruiker is toegewezen, maar de app-registratie-instelling is beperkt tot beheerders, vraagt u de beheerder om u een van de beheerdersrollen toe te wijzen waarmee alle aspecten van app-registraties kunnen worden gemaakt en beheerd, of om gebruikers in staat te stellen apps te registreren.

Als u niet over voldoende machtigingen beschikt om een toepassing te registreren en uw beheerder u deze machtigingen niet kan geven, is de eenvoudigste manier om AKS te implementeren door uw Azure-beheerder te vragen een service-principal met de juiste machtigingen te maken. Beheerders kunnen de volgende sectie controleren voor meer informatie over het maken van een service-principal.

Rol en toegangsniveau van Azure-abonnement

Als u uw toegangsniveau wilt controleren, gaat u naar uw abonnement, selecteert u Toegangsbeheer (IAM) aan de linkerkant van de Azure Portal en selecteert u vervolgens Mijn toegang weergeven.

• Als u Windows Admin Center gebruikt om een AKS-host of een AKS-workloadcluster te implementeren, moet u een Azure-abonnement hebben waarvoor u eigenaar bent.
• Als u PowerShell gebruikt om een AKS-host of een AKS-workloadcluster te implementeren, moet de gebruiker die het cluster registreert ten minste een van de volgende opties hebben:
  • Een gebruikersaccount met de ingebouwde rol Eigenaar .
  • Een service-principal met een van de volgende toegangsniveaus:
    • De ingebouwde rol Inzender .
    • De ingebouwde rol Eigenaar .

Als uw Azure-abonnement via een EA of CSP verloopt, is de eenvoudigste manier om AKS te implementeren door uw Azure-beheerder te vragen een service-principal met de juiste machtigingen te maken. Beheerders kunnen de volgende sectie controleren over het maken van een service-principal.

Optioneel: een nieuwe service-principal maken

Voer de volgende stappen uit om een nieuwe service-principal te maken met de ingebouwde eigenaarrol . Alleen abonnementseigenaren kunnen service-principals maken met de juiste roltoewijzing. U kunt uw toegangsniveau controleren door naar uw abonnement te navigeren, Toegangsbeheer (IAM) aan de linkerkant van de Azure Portal te selecteren en vervolgens Mijn toegang weergeven te selecteren.

Stel de volgende PowerShell-variabelen in een PowerShell-beheervenster in. Controleer of het abonnement en de tenant zijn wat u wilt gebruiken om uw AKS-host te registreren voor facturering:

$subscriptionID = "<Your Azure subscrption ID>"
$tenantID = "<Your Azure tenant ID>"

Installeer en importeer de AKS PowerShell-module:

Install-Module -Name AksHci

Meld u aan bij Azure met de PowerShell-opdracht Connect-AzAccount :

Connect-AzAccount -tenant $tenantID

Stel het abonnement in dat u wilt gebruiken om uw AKS-host voor facturering te registreren als het standaardabonnement door de opdracht Set-AzContext uit te voeren:

Set-AzContext -Subscription $subscriptionID

Controleer of uw aanmeldingscontext juist is door de PowerShell-opdracht Get-AzContext uit te voeren. Controleer of het abonnement, de tenant en het account zijn wat u wilt gebruiken om uw AKS-host te registreren voor facturering:

Get-AzContext

Name                                     Account                      SubscriptionName             Environment                  TenantId
----                                     -------                      ----------------             -----------                  --------
myAzureSubscription (92391anf-...        user@contoso.com             myAzureSubscription          AzureCloud                   xxxxxx-xxxx-xxxx-xxxxxx

Maak een service-principal door de PowerShell-opdracht New-AzADServicePrincipal uit te voeren. Met deze opdracht maakt u een service-principal met de rol Eigenaar en stelt u het bereik in op abonnementsniveau. Zie Een Azure-service-principal maken met Azure PowerShell voor meer informatie over het maken van service-principals.

$sp = New-AzADServicePrincipal -role "Owner" -scope /subscriptions/$subscriptionID

Haal het wachtwoord voor de service-principal op door de volgende opdracht uit te voeren. Houd er rekening mee dat deze opdracht alleen werkt voor Az.Accounts 2.6.0 of lager. De Module Az.Accounts 2.6.0 wordt automatisch gedownload wanneer u de AksHci PowerShell-module installeert:

$secret = $sp.PasswordCredentials[0].SecretText
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"

In de vorige uitvoer hebt u nu de toepassings-id en het geheim beschikbaar bij het implementeren van AKS. U moet deze items noteren en veilig opslaan. Nu deze is gemaakt, ziet u in de Azure Portal, onder Abonnementen, Access Control en vervolgens Roltoewijzingen, uw nieuwe service-principal.

Azure-resourcegroep

U moet vóór de registratie een Azure-resourcegroep hebben in de Azure-regio Australië - oost, VS - oost, Azië - zuidoost of Europa - west.

Azure-regio's

Waarschuwing

AKS Arc ondersteunt momenteel het maken van clusters uitsluitend binnen de volgende opgegeven Azure-regio's. Als u probeert te implementeren in een regio buiten deze lijst, treedt er een implementatiefout op.

De AKS Arc-service wordt gebruikt voor registratie, facturering en beheer. Het wordt momenteel ondersteund in de volgende regio's:

• VS - oost
• VS - zuid-centraal
• Europa -west

Active Directory-vereisten

Zorg ervoor dat aan de volgende vereisten wordt voldaan om een AKS-failovercluster met 2 of meer fysieke knooppunten optimaal te laten functioneren in een Active Directory-omgeving:

Notitie

Active Directory is niet vereist voor implementaties van Azure Stack HCI of Windows Server met één knooppunt.

• Stel tijdsynchronisatie zo in dat de verschillen niet groter zijn dan 2 minuten voor alle clusterknooppunten en de domeincontroller. Zie Windows time-service voor informatie over het instellen van tijdsynchronisatie.
• Zorg ervoor dat de gebruikersaccounts die worden gebruikt voor het toevoegen van updates en het beheren van AKS- of Windows Server Datacenter-clusters de juiste machtigingen hebben in Active Directory. Als u organisatie-eenheden (OE's) gebruikt voor het beheren van groepsbeleid voor servers en services, vereisen de gebruikersaccounts machtigingen voor lijsten, lezen, wijzigen en verwijderen voor alle objecten in de organisatie-eenheid.
• Gebruik een afzonderlijke organisatie-eenheid (OE) voor de servers en services van uw AKS- of Windows Server Datacenter-clusters. Met een afzonderlijke organisatie-eenheid kunt u de toegang en machtigingen met meer granulariteit beheren.
• Als u GPO-sjablonen gebruikt voor containers in Active Directory, moet u ervoor zorgen dat het implementeren van AKS in Azure Stack HCI en Windows Server is uitgesloten van het beleid.

Volgende stappen

Nadat u aan alle bovenstaande vereisten hebt voldaan, kunt u een AKS-host instellen op Azure Stack HCI met behulp van:

• Windows Admin Center
• PowerShell