De infrastructuur maken voor het uitvoeren van een MongoDB-cluster in Azure Kubernetes Service (AKS)

In dit artikel maakt u de vereiste infrastructuurbronnen om een MongoDB-cluster uit te voeren in Azure Kubernetes Service (AKS).

Vereisten

• Bekijk het overzicht voor het implementeren van een MongoDB-cluster op AKS.
• Een Azure-abonnement. Als u nog geen account hebt, kunt u een gratis account maken.
• Azure CLI versie 2.61.0. Ga naar Azure CLI installeren om te installeren of upgraden.
• Helm versie 3 of hoger. Zie Helm installeren voor installatie-instructies.
• kubectl, die Azure Cloud Shell standaard installeert.
• Docker geïnstalleerd op uw lokale computer. Zie Docker verkrijgen voor installatie.

Omgevingsvariabelen instellen

Stel de vereiste omgevingsvariabelen in voor gebruik in deze handleiding:

random=$(echo $RANDOM | tr '[0-9]' '[a-z]')
export MY_LOCATION=australiaeast
export MY_RESOURCE_GROUP_NAME=myResourceGroup-rg-$(echo $MY_LOCATION)
export MY_ACR_REGISTRY=mydnsrandomname$(echo $random)
export MY_IDENTITY_NAME=ua-identity-123
export MY_KEYVAULT_NAME=vault-$(echo $random)-kv
export MY_CLUSTER_NAME=cluster-aks
export SERVICE_ACCOUNT_NAME=mongodb
export SERVICE_ACCOUNT_NAMESPACE=mongodb
export AKS_MONGODB_NAMESPACE=mongodb
export AKS_MONGODB_SECRETS_NAME=cluster-aks-mongodb-secrets
export AKS_MONGODB_CLUSTER_NAME=cluster-aks-mongodb
export AKS_MONGODB_SECRETS_ENCRYPTION_KEY=cluster-aks-mongodb-secrets-mongodb-encryption-key
export AKS_AZURE_SECRETS_NAME=cluster-aks-azure-secrets
export AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME=mongodbsa$(echo $random)
export AKS_MONGODB_BACKUP_STORAGE_CONTAINER_NAME=backups

Een brongroep maken

• Maak een resourcegroep met behulp van de az group create opdracht.

  az group create --name $MY_RESOURCE_GROUP_NAME --location $MY_LOCATION --output table
  

  Voorbeelduitvoer:

  Location       Name
  -------------  --------------------------------
  australiaeast  myResourceGroup-rg-australiaeast   
  

Een identiteit maken voor toegang tot geheimen in Azure Key Vault

In deze stap maakt u een door de gebruiker toegewezen beheerde identiteit die externe geheimenoperator gebruikt voor toegang tot de MongoDB-wachtwoorden die zijn opgeslagen in Azure Key Vault.

• Maak een door de gebruiker toegewezen beheerde identiteit met behulp van de az identity create opdracht.

  az identity create --name $MY_IDENTITY_NAME --resource-group $MY_RESOURCE_GROUP_NAME --output none
  export MY_IDENTITY_NAME_ID=$(az identity show --name $MY_IDENTITY_NAME -g $MY_RESOURCE_GROUP_NAME --query id -o tsv)
  export MY_IDENTITY_NAME_PRINCIPAL_ID=$(az identity show --name $MY_IDENTITY_NAME -g $MY_RESOURCE_GROUP_NAME --query principalId -o tsv)
  export MY_IDENTITY_NAME_CLIENT_ID=$(az identity show --name $MY_IDENTITY_NAME -g $MY_RESOURCE_GROUP_NAME --query clientId -o tsv)
  

Een Azure Key Vault-exemplaar maken

• Maak een Azure Key Vault-exemplaar met behulp van de az keyvault create opdracht.

  az keyvault create --name $MY_KEYVAULT_NAME --resource-group $MY_RESOURCE_GROUP_NAME --location $MY_LOCATION --enable-rbac-authorization false --output table
  export KEYVAULTID=$(az keyvault show --name $MY_KEYVAULT_NAME --query "id" --output tsv)
  export KEYVAULTURL=$(az keyvault show --name $MY_KEYVAULT_NAME --query "properties.vaultUri" --output tsv)
  

  Voorbeelduitvoer:

  Location       Name            ResourceGroup
  -------------  --------------  --------------------------------
  australiaeast  vault-cjcfc-kv  myResourceGroup-rg-australiaeast
  

Een Azure Container Registry-exemplaar maken

• Maak een Azure Container Registry-exemplaar om uw containerinstallatiekopieën op te slaan en te beheren met behulp van de az acr create opdracht.

  az acr create \
  --name ${MY_ACR_REGISTRY} \
  --resource-group $MY_RESOURCE_GROUP_NAME \
  --sku Premium \
  --location $MY_LOCATION \
  --admin-enabled true \
  --output table
  export MY_ACR_REGISTRY_ID=$(az acr show --name $MY_ACR_REGISTRY --resource-group $MY_RESOURCE_GROUP_NAME --query id -o tsv)
  

  Voorbeelduitvoer:

  NAME                  RESOURCE GROUP                    LOCATION       SKU      LOGIN SERVER                     CREATION DATE         ADMIN ENABLED
  --------------------  --------------------------------  -------------  -------  -------------------------------  --------------------  ---------------
  mydnsrandomnamecjcfc  myResourceGroup-rg-australiaeast  australiaeast  Premium  mydnsrandomnamecjcfc.azurecr.io  2024-07-01T12:18:34Z  True
  

Een Azure-opslagaccount maken

• Maak een Azure-opslagaccount om de MongoDB-back-ups op te slaan met behulp van de az acr create opdracht.

  az storage account create --name $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME --resource-group $MY_RESOURCE_GROUP_NAME --location $MY_LOCATION --sku Standard_ZRS --output table
  az storage container create --name $AKS_MONGODB_BACKUP_STORAGE_CONTAINER_NAME --account-name $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME --output table
  export AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_KEY=$(az storage account keys list --account-name $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME --query "[0].value" -o tsv)
  az keyvault secret set --vault-name $MY_KEYVAULT_NAME --name AZURE-STORAGE-ACCOUNT-KEY --value $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_KEY --output none
  

  Voorbeelduitvoer:

  AccessTier    AllowBlobPublicAccess    AllowCrossTenantReplication    CreationTime                      EnableHttpsTrafficOnly    Kind       Location       MinimumTlsVersion    Name            PrimaryLocation    ProvisioningState    ResourceGroup
  StatusOfPrimary
  ------------  -----------------------  -----------------------------  --------------------------------  ------------------------  ---------  -------------  -------------------  --------------  -----------------  -------------------  --------------------------------  -----------------
  Hot           False                    False                          2024-08-09T07:06:41.727230+00:00  True                      StorageV2  australiaeast  TLS1_0               mongodbsabdibh  australiaeast      Succeeded            myResourceGroup-rg-australiaeast  available
  Created
  ---------
  True
  

Een AKS-cluster maken

In de volgende stappen maakt u een AKS-cluster met een workloadidentiteit en OIDC-verlener (OpenID Connect) ingeschakeld. De workloadidentiteit geeft het serviceaccount externe geheimenoperator toestemming voor toegang tot de MongoDB-wachtwoorden die zijn opgeslagen in uw sleutelkluis.

1. Maak een AKS-cluster met behulp van de az aks create opdracht.

   az aks create \
   --location $MY_LOCATION \
   --name $MY_CLUSTER_NAME \
   --tier standard \
   --resource-group $MY_RESOURCE_GROUP_NAME \
   --network-plugin azure \
   --node-vm-size Standard_DS4_v2 \
   --node-count 1 \
   --nodepool-name systempool \
   --nodepool-tags "pool=system" \
   --auto-upgrade-channel stable \
   --node-os-upgrade-channel NodeImage \
   --attach-acr ${MY_ACR_REGISTRY} \
   --enable-oidc-issuer \
   --enable-workload-identity \
   --zones 1 2 3 \
   --generate-ssh-keys \
   --output none
   

2. Voeg een gebruikersknooppuntgroep toe aan de AKSc luster met behulp van de az aks nodepool add opdracht. In deze knooppool draaien de MongoDB-pods.

   az aks nodepool add \
   --resource-group $MY_RESOURCE_GROUP_NAME \
   --cluster-name $MY_CLUSTER_NAME \
   --name mongodbpool \
   --node-vm-size Standard_DS4_v2 \
   --node-count 3 \
   --zones 1 2 3 \
   --mode User \
   --output table
   

   Voorbeelduitvoer:

   Name        OsType    KubernetesVersion    VmSize           Count    MaxPods    ProvisioningState    Mode
   ----------  --------  -------------------  ---------------  -------  ---------  -------------------  ------
   userpool    Linux     1.28                 Standard_DS4_v2  3        30         Succeeded            User
   

3. Haal de URL van de OIDC-verlener op die moet worden gebruikt voor de configuratie van de workloadidentiteit met behulp van de az aks show opdracht.

   export OIDC_URL=$(az aks show --resource-group $MY_RESOURCE_GROUP_NAME --name $MY_CLUSTER_NAME --query oidcIssuerProfile.issuerUrl -o tsv)
   

4. Wijs de AcrPull rol toe aan de kubelet-identiteit met behulp van de az role assignment create opdracht.

   export KUBELET_IDENTITY=$(az aks show -g $MY_RESOURCE_GROUP_NAME --name $MY_CLUSTER_NAME -o tsv --query identityProfile.kubeletidentity.objectId)
   az role assignment create \
   --assignee ${KUBELET_IDENTITY} \
   --role "AcrPull" \
   --scope ${MY_ACR_REGISTRY_ID} \
   --output none
   

Percona-installatiekopieën uploaden naar Azure Container Registry

In deze sectie downloadt u de Percona-installatiekopieën van Docker Hub en uploadt u deze naar Azure Container Registry. Deze stap zorgt ervoor dat de image beschikbaar is in uw privéregister en kan worden gebruikt in uw AKS-cluster. We raden aan om de openbare afbeelding niet in een productieomgeving te gebruiken.

• Importeer de Percona-installatiekopieën uit Docker Hub en upload ze naar Azure Container Registry met behulp van de volgende az acr import opdrachten:

  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/percona-server-mongodb:7.0.8-5  \
      --image percona-server-mongodb:7.0.8-5
  
  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/pmm-client:2.41.2  \
      --image pmm-client:2.41.2
  
  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/percona-backup-mongodb:2.4.1  \
      --image percona-backup-mongodb:2.4.1
  
  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/percona-server-mongodb-operator:1.16.1  \
      --image percona-server-mongodb-operator:1.16.1
  

De infrastructuur implementeren met Terraform

Voor het implementeren van de infrastructuur met Behulp van Terraform gebruiken we de azure-geverifieerde module voor AKS. De opslagplaats terraform-azurerm-avm-res-containerservice-managedcluster bevat een volledig voorbeeld met de infrastructuur die is vereist voor het uitvoeren van een MongoDB-cluster in Azure Kubernetes Service (AKS).

Opmerking

Als u van plan bent om dit in productie uit te voeren, raden we u aan de AKS-productiepatroonmodule voor gecontroleerde Azure-modules te bekijken. Dit wordt geleverd in combinatie met best practice-aanbevelingen.

1. Kloon de Git-opslagplaats met de terraform-module:

   git clone https://github.com/Azure/terraform-azurerm-avm-res-containerservice-managedcluster.git
   cd examples/stateful-workloads
   

2. Maak een mongodb.tfvars bestand om variabelen te definiëren met behulp van de volgende opdracht:

   cat > mongodb.tfvars <<EOL
   location = "$MY_LOCATION"
   resource_group_name = "$MY_RESOURCE_GROUP_NAME"
   acr_registry_name = "$MY_ACR_REGISTRY"
   cluster_name = "$MY_CLUSTER_NAME"
   identity_name = "$MY_IDENTITY_NAME"
   keyvault_name = "$MY_KEYVAULT_NAME"
   aks_mongodb_backup_storage_account_name = "$AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME"
   aks_mongodb_backup_storage_container_name = "$AKS_MONGODB_BACKUP_STORAGE_CONTAINER_NAME"
   mongodb_enabled = true
   mongodb_namespace = "$AKS_MONGODB_NAMESPACE"
   service_account_name = "$SERVICE_ACCOUNT_NAME"
   
   acr_task_content = <<-EOF
   version: v1.1.0
   steps:
     - cmd: bash echo Waiting 10 seconds the propagation of the Container Registry Data Importer and Data Reader role
     - cmd: bash sleep 10
     - cmd: az login --identity
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/percona-server-mongodb:7.0.8-5 --image percona-server-mongodb:7.0.8-5
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/pmm-client:2.41.2 --image pmm-client:2.41.2
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/percona-backup-mongodb:2.4.1 --image percona-backup-mongodb:2.4.1
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/percona-server-mongodb-operator:1.16.1 --image percona-server-mongodb-operator:1.16.1
   EOF
   
   node_pools = {
     mongodbserver = {
       name       = "mongodbpool"
       vm_size    = "Standard_D2ds_v4"
       node_count = 3
       zones      = [1, 2, 3]
       os_type    = "Linux"
     }
   }
   EOL
   

3. Voer de volgende Terraform-opdrachten uit om de infrastructuur te implementeren:

   terraform init
   terraform fmt
   terraform apply -var-file="mongodb.tfvars"
   

4. Voer de volgende opdracht uit om de Terraform-uitvoerwaarden als omgevingsvariabelen in de terminal te exporteren om deze in de volgende stappen te gebruiken:

   export MY_ACR_REGISTRY_ID=$(terraform output -raw acr_registry_id)
   export MY_ACR_REGISTRY=$(terraform output -raw acr_registry_name)
   export MY_CLUSTER_NAME=$(terraform output -raw aks_cluster_name)
   export KUBELET_IDENTITY=$(terraform output -raw aks_kubelet_identity_id)
   export OIDC_URL=$(terraform output -raw aks_oidc_issuer_url)
   export identity_name=$(terraform output -raw identity_name)
   export MY_IDENTITY_NAME_ID=$(terraform output -raw identity_name_id)
   export MY_IDENTITY_NAME_PRINCIPAL_ID=$(terraform output -raw identity_name_principal_id)
   export MY_IDENTITY_NAME_CLIENT_ID=$(terraform output -raw identity_name_client_id)
   export KEYVAULTID=$(terraform output -raw key_vault_id)
   export KEYVAULTURL=$(terraform output -raw key_vault_uri)
   export AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_KEY=$(terraform output -raw storage_account_key)
   export STORAGE_ACCOUNT_NAME=$(terraform output -raw storage_account_name)
   export TENANT_ID=$(terraform output -raw identity_name_tenant_id)
   

Opmerking

In AKS is de standaardduur van de keepalive -tijd (de duur van inactiviteit waarna de eerste keepalive-test wordt verzonden) 7.200 seconden of 2 uur. Voor MongoDB ervaart u over het algemeen betere resultaten met een kortere keepalive-waarde, in de volgorde van 120 seconden of 2 minuten.

Verbinding maken met het AKS-cluster

• Stel kubectl in om verbinding te maken met uw AKS-cluster met behulp van het az aks get-credentials commando.

  az aks get-credentials --resource-group $MY_RESOURCE_GROUP_NAME --name $MY_CLUSTER_NAME --overwrite-existing --output table
  

Volgende stap

Het MongoDB-cluster configureren en implementeren in AKS