Samouczek — tworzenie klastra usługi Azure Kubernetes Service (AKS)

Artykuł
03/20/2024

Usługa Kubernetes zapewnia rozproszoną platformę dla konteneryzowanych aplikacji. Dzięki usłudze Azure Kubernetes Service (AKS) można szybko utworzyć gotowy do produkcji klaster Kubernetes.

W tym samouczku, część trzecia z siedmiu, wdrożysz klaster Kubernetes w usłudze AKS. Dowiedz się, jak odbywa się:

Wdróż klaster usługi AKS, który może uwierzytelniać się w usłudze Azure Container Registry (ACR).

Zainstaluj interfejs wiersza polecenia platformy Kubernetes, kubectl.

Skonfiguruj kubectl , aby nawiązać połączenie z klastrem usługi AKS.

Zanim rozpoczniesz

W poprzednich samouczkach utworzono obraz kontenera i przekazano go do wystąpienia usługi ACR. Rozpocznij od samouczka 1 — przygotuj aplikację dla usługi AKS , aby kontynuować.

Jeśli używasz interfejsu wiersza polecenia platformy Azure, ten samouczek wymaga interfejsu wiersza polecenia platformy Azure w wersji 2.0.53 lub nowszej. Sprawdź wersję za pomocą polecenia az --version. Aby zainstalować lub uaktualnić, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
Jeśli używasz programu Azure PowerShell, ten samouczek wymaga programu Azure PowerShell w wersji 5.9.0 lub nowszej. Sprawdź wersję za pomocą polecenia Get-InstalledModule -Name Az. Aby zainstalować lub uaktualnić, zobacz Instalowanie programu Azure PowerShell.
Jeśli używasz interfejsu wiersza polecenia dla deweloperów platformy Azure, ten samouczek wymaga interfejsu wiersza polecenia dla deweloperów platformy Azure w wersji 1.5.1 lub nowszej. Sprawdź wersję za pomocą polecenia azd version. Aby zainstalować lub uaktualnić, zobacz Instalowanie interfejsu wiersza polecenia dla deweloperów platformy Azure.

Tworzenie klastra Kubernetes

Aby dowiedzieć się więcej na temat kontroli dostępu opartej na rolach usług AKS i Kubernetes, zobacz Kontrola dostępu do zasobów klastra przy użyciu kontroli dostępu opartej na rolach platformy Kubernetes i tożsamości usługi Microsoft Entra w usłudze AKS.

Ten samouczek wymaga interfejsu wiersza polecenia platformy Azure w wersji 2.0.53 lub nowszej. Sprawdź wersję za pomocą polecenia az --version. Aby zainstalować lub uaktualnić, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Instalowanie interfejsu wiersza polecenia rozwiązania Kubernetes

Interfejs wiersza polecenia kubernetes, kubectl, umożliwia nawiązanie połączenia z klastrem Kubernetes. Jeśli korzystasz z usługi Azure Cloud Shell, narzędzie kubectl jest już zainstalowane. Jeśli uruchamiasz polecenia lokalnie, możesz zainstalować kubectlprogram za pomocą interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

Zainstaluj kubectl lokalnie przy użyciu az aks install-cli polecenia .
```
az aks install-cli
```

azd środowiska w przestrzeni kodu automatycznie pobierają wszystkie zależności znalezione w pliku ./devcontainer/devcontainer.json. Obejmuje to interfejs wiersza polecenia platformy Kubernetes wraz z dowolnymi obrazami usługi Azure Container Registry (ACR).

Aby zainstalować kubectl lokalnie, użyj az aks install-cli polecenia .
```
az aks install-cli
```

Tworzenie klastra AKS

Klastry usługi AKS mogą używać kontroli dostępu opartej na rolach (Kubernetes RBAC) platformy Kubernetes, która umożliwia definiowanie dostępu do zasobów na podstawie ról przypisanych do użytkowników. Uprawnienia są łączone, gdy użytkownicy mają przypisane wiele ról. Uprawnienia mogą być ograniczone do jednej przestrzeni nazw lub w całym klastrze. Aby uzyskać więcej informacji, zobacz Control access to cluster resources using Kubernetes RBAC and Microsoft Entra ID in AKS (Kontrola dostępu do zasobów klastra przy użyciu kontroli dostępu opartej na rolach platformy Kubernetes i identyfikatora Entra firmy Microsoft w usłudze AKS).

Aby uzyskać informacje na temat limitów zasobów i dostępności regionów usługi AKS, zobacz Limity przydziału, ograniczenia rozmiaru maszyny wirtualnej i dostępność regionów w usłudze AKS.

Uwaga

Aby zapewnić niezawodne działanie klastra, należy uruchomić co najmniej dwa węzły.

Aby umożliwić klastrowi usługi AKS interakcję z innymi zasobami platformy Azure, platforma Azure automatycznie tworzy tożsamość klastra. W tym przykładzie tożsamość klastra ma prawo do ściągania obrazów z wystąpienia usługi ACR utworzonego w poprzednim samouczku. Aby wykonać polecenie pomyślnie, musisz mieć rolę właściciela lub administratora konta platformy Azure w ramach subskrypcji platformy Azure.

Utwórz klaster usługi AKS przy użyciu az aks create polecenia . W poniższym przykładzie tworzony jest klaster o nazwie myAKSCluster w grupie zasobów o nazwie myResourceGroup. Ta grupa zasobów została utworzona w poprzednim samouczku w regionie eastus .
```
az aks create \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --node-count 2 \
    --generate-ssh-keys \
    --attach-acr <acrName>
```
Uwaga

Jeśli klucze SSH są już wygenerowane, może wystąpić błąd podobny do linuxProfile.ssh.publicKeys.keyData is invalid. Aby kontynuować, spróbuj ponownie wykonać polecenie bez parametru --generate-ssh-keys .

Aby uniknąć konieczności posiadania lub roli administratora konta platformy Azure, możesz również ręcznie skonfigurować jednostkę usługi w celu ściągnięcia obrazów z usługi ACR. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie ACR za pomocą jednostek usługi lub Uwierzytelnianie z platformy Kubernetes przy użyciu wpisu tajnego ściągania. Alternatywnie można użyć tożsamości zarządzanej zamiast jednostki usługi, aby ułatwić zarządzanie.

Utwórz klaster usługi AKS przy użyciu New-AzAksCluster polecenia cmdlet . W poniższym przykładzie tworzony jest klaster o nazwie myAKSCluster w grupie zasobów o nazwie myResourceGroup. Ta grupa zasobów została utworzona w poprzednim samouczku w regionie eastus .
```
New-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster -NodeCount 2 -GenerateSshKey -AcrNameToAttach <acrName>
```
Uwaga

Jeśli klucze SSH są już wygenerowane, może wystąpić błąd podobny do linuxProfile.ssh.publicKeys.keyData is invalid. Aby kontynuować, spróbuj ponownie wykonać polecenie bez parametru -GenerateSshKey .

Nawiązywanie połączenia z klastrem przy użyciu narzędzia kubectl

Skonfiguruj kubectl , aby nawiązać połączenie z klastrem az aks get-credentials Kubernetes przy użyciu polecenia . Poniższy przykład pobiera poświadczenia dla klastra usługi AKS o nazwie myAKSCluster w grupie myResourceGroup.
```
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
```

Sprawdź połączenie z klastrem kubectl get nodes przy użyciu polecenia , które zwraca listę węzłów klastra.

kubectl get nodes

Poniższe przykładowe dane wyjściowe zawierają listę węzłów klastra.

NAME                                STATUS   ROLES   AGE   VERSION
aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.25.6
aks-nodepool1-19366578-vmss000003   Ready    agent   47h   v1.25.6

Skonfiguruj, kubectl aby nawiązać połączenie z klastrem Import-AzAksCredential Kubernetes przy użyciu polecenia cmdlet . Poniższy przykład pobiera poświadczenia dla klastra usługi AKS o nazwie myAKSCluster w grupie myResourceGroup.
```
Import-AzAksCredential -ResourceGroupName myResourceGroup -Name myAKSCluster
```

Sprawdź połączenie z klastrem kubectl get nodes przy użyciu polecenia , które zwraca listę węzłów klastra.

kubectl get nodes

Poniższe przykładowe dane wyjściowe zawierają listę węzłów klastra.

NAME                                STATUS   ROLES   AGE   VERSION
aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.25.6
aks-nodepool1-19366578-vmss000003   Ready    agent   47h   v1.25.6

Skonfiguruj uwierzytelnianie w klastrze przy użyciu azd auth login polecenia .
```
azd auth login 
```
Postępuj zgodnie z instrukcjami dotyczącymi metody uwierzytelniania.

Sprawdź połączenie z klastrem kubectl get nodes przy użyciu polecenia .

kubectl get nodes

Poniższe przykładowe dane wyjściowe przedstawiają listę węzłów klastra

NAME                                STATUS   ROLES   AGE   VERSION
aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.25.6
aks-nodepool1-19366578-vmss000003   Ready    agent   47h   v1.25.6

obejście uwierzytelniania azd

To obejście wymaga zainstalowania interfejsu wiersza polecenia platformy Azure.

Otwórz okno terminalu i zaloguj się przy użyciu interfejsu wiersza polecenia platformy Azure przy użyciu az login polecenia z parametrem ustawionym --scope na https://graph.microsoft.com/.default.
```
az login --scope https://graph.microsoft.com/.default
```
Należy przekierować do strony uwierzytelniania na nowej karcie, aby utworzyć token dostępu przeglądarki, jak pokazano w poniższym przykładzie:
```
https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize?clientid=<your_client_id>.
```
Skopiuj adres URL hosta lokalnego odebranej strony internetowej po próbie zalogowania się przy użyciu polecenia azd auth login.

W nowym oknie terminalu użyj następującego curl żądania, aby się zalogować. Upewnij się, że symbol zastępczy został zastąpiony <localhost> adresem URL hosta lokalnego skopiowany w poprzednim kroku.

curl <localhost>

Pomyślne zalogowanie zwraca stronę internetową HTML, jak pokazano w poniższym przykładzie:

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8" />
    <meta http-equiv="refresh" content="60;url=https://docs.microsoft.com/cli/azure/">
    <title>Login successfully</title>
    <style>
        body {
            font-family: 'Segoe UI', Tahoma, Geneva, Verdana, sans-serif;
        }

        code {
            font-family: Consolas, 'Liberation Mono', Menlo, Courier, monospace;
            display: inline-block;
            background-color: rgb(242, 242, 242);
            padding: 12px 16px;
            margin: 8px 0px;
        }
    </style>
</head>
<body>
    <h3>You have logged into Microsoft Azure!</h3>
    <p>You can close this window, or we will redirect you to the <a href="https://docs.microsoft.com/cli/azure/">Azure CLI documentation</a> in 1 minute.</p>
    <h3>Announcements</h3>
    <p>[Windows only] Azure CLI is collecting feedback on using the <a href="https://learn.microsoft.com/windows/uwp/security/web-account-manager">Web Account Manager</a> (WAM) broker for the login experience.</p>
    <p>You may opt-in to use WAM by running the following commands:</p>
    <code>
        az config set core.allow_broker=true<br>
        az account clear<br>
        az login
    </code>
</body>
</html>

Zamknij bieżący terminal i otwórz oryginalny terminal. Powinna zostać wyświetlona lista JSON subskrypcji.
id Skopiuj pole subskrypcji, której chcesz użyć.
Ustaw subskrypcję przy użyciu az account set polecenia .
```
az account set --subscription <subscription_id>
```

Następne kroki

W tym samouczku wdrożono klaster Kubernetes w usłudze AKS i skonfigurowano kubectl go do nawiązywania połączenia z klastrem. W tym samouczku omówiono:

Wdróż klaster usługi AKS, który może uwierzytelniać się w usłudze ACR.
Zainstaluj interfejs wiersza polecenia platformy Kubernetes, kubectl.
Skonfiguruj kubectl , aby nawiązać połączenie z klastrem usługi AKS.

W następnym samouczku dowiesz się, jak wdrożyć aplikację w klastrze.

Wdrażanie aplikacji w usłudze AKS