Udostępnij za pośrednictwem


Samouczek: nawiązywanie połączenia z kontem usługi Azure Storage w usłudze Azure Kubernetes Service (AKS) przy użyciu łącznika usługi przy użyciu tożsamości obciążenia

Dowiedz się, jak utworzyć zasobnik w klastrze usługi AKS, który komunikuje się z kontem usługi Azure Storage przy użyciu tożsamości obciążenia za pomocą łącznika usługi. W tym samouczku wykonasz następujące zadania:

  • Utwórz klaster usługi AKS i konto usługi Azure Storage.
  • Utwórz połączenie między klastrem AKS i kontem usługi Azure Storage za pomocą łącznika usługi.
  • Sklonuj przykładową aplikację, która będzie komunikować się z kontem usługi Azure Storage z klastra usługi AKS.
  • Wdróż aplikację w zasobniku w klastrze usługi AKS i przetestuj połączenie.
  • Wyczyść zasoby.

Ważne

Program Service Connect w usłudze AKS jest obecnie w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Wymagania wstępne

Tworzenie zasobów platformy Azure

  1. Utwórz grupę zasobów na potrzeby tego samouczka.

    az group create \
        --name MyResourceGroup \
        --location eastus
    
  2. Utwórz klaster usługi AKS za pomocą następującego polecenia lub zapoznaj się z samouczkiem. Tworzymy połączenie z usługą, definicję zasobnika i wdrażamy przykładową aplikację w tym klastrze.

    az aks create \
        --resource-group MyResourceGroup \
        --name MyAKSCluster \
        --enable-managed-identity \
        --node-count 1
    
  3. Połącz się z klastrem za pomocą następującego polecenia.

    az aks get-credentials \
        --resource-group MyResourceGroup \
        --name MyAKSCluster
    
  4. Utwórz konto usługi Azure Storage przy użyciu następującego polecenia lub zapoznaj się z samouczkiem. Jest to usługa docelowa połączona z klastrem AKS i przykładowa aplikacja współdziała z.

    az storage account create \
        --resource-group MyResourceGroup \
        --name MyStorageAccount \
        --location eastus \
        --sku Standard_LRS
    
  5. Utwórz rejestr kontenerów platformy Azure za pomocą następującego polecenia lub zapoznaj się z samouczkiem. Rejestr hostuje obraz kontenera przykładowej aplikacji, która będzie zużywana przez definicję zasobnika usługi AKS.

    az acr create \
        --resource-group MyResourceGroup \
        --name MyRegistry \
        --sku Standard
    

    Włącz funkcję ściągania anonimowego, aby klaster usługi AKS mógł korzystać z obrazów w rejestrze.

    az acr update \
        --resource-group MyResourceGroup \
        --name MyRegistry \
        --anonymous-pull-enabled
    
  6. Utwórz tożsamość zarządzaną przypisaną przez użytkownika przy użyciu następującego polecenia lub zapoznaj się z samouczkiem. Tożsamość zarządzana przypisana przez użytkownika jest używana w tworzeniu połączenia z usługą w celu włączenia tożsamości obciążenia dla obciążeń usługi AKS.

    az identity create \
        --resource-group MyResourceGroup \
        --name MyIdentity
    

Tworzenie połączenia z usługą za pomocą łącznika usługi (wersja zapoznawcza)

Utwórz połączenie usługi między klastrem usługi AKS i kontem usługi Azure Storage przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.

  1. Otwórz usługę Kubernetes w witrynie Azure Portal i wybierz pozycję Łącznik usługi z menu po lewej stronie.

  2. Wybierz pozycję Utwórz i wypełnij ustawienia, jak pokazano poniżej. Pozostaw inne ustawienia wartościami domyślnymi.

    Karta Podstawy:

    Ustawienie Wybór opis
    Przestrzeń nazw platformy Kubernetes default Przestrzeń nazw, w której jest potrzebne połączenie w klastrze.
    Typ usługi Storage — Blob Docelowy typ usługi.
    Nazwa połączenia storage_conn Użyj nazwy połączenia dostarczonej przez łącznik usługi lub wybierz własną nazwę połączenia.
    Subskrypcja <MySubscription> Subskrypcja usługi docelowej usługi Azure Blob Storage.
    Konto magazynu <MyStorageAccount> Docelowe konto magazynu, z którym chcesz nawiązać połączenie.
    Typ klienta Python Język kodu lub struktura używana do nawiązywania połączenia z usługą docelową.

    Karta Uwierzytelnianie:

    Ustawienie uwierzytelniania Wybór opis
    Authentication type (Typ uwierzytelniania) Tożsamość obciążenia Typ uwierzytelniania łącznika usługi.
    Tożsamość zarządzana przypisana przez użytkownika <MyIdentity> Tożsamość zarządzana przypisana przez użytkownika jest wymagana do włączenia tożsamości obciążenia.
  3. Po utworzeniu połączenia na stronie Łącznik usługi zostaną wyświetlone informacje o nowym połączeniu. Zrzut ekranu witryny Azure Portal przedstawiający zasoby kubernetes utworzone przez łącznik usługi.

Klonowanie przykładowej aplikacji

  1. Sklonuj przykładowe repozytorium:

    git clone https://github.com/Azure-Samples/serviceconnector-aks-samples.git
    
  2. Przejdź do folderu przykładowego repozytorium dla usługi Azure Storage:

    cd serviceconnector-aks-samples/azure-storage-workload-identity
    

Kompilowanie i wypychanie obrazu kontenera

  1. Skompiluj i wypchnij obrazy do rejestru kontenerów przy użyciu polecenia interfejsu wiersza polecenia az acr build platformy Azure.

    az acr build --registry <MyRegistry> --image sc-demo-storage-identity:latest ./
    
  2. Wyświetl obrazy w rejestrze kontenerów przy użyciu az acr repository list polecenia .

    az acr repository list --name <MyRegistry> --output table
    

Uruchamianie aplikacji i testowanie połączenia

  1. Zastąp pod.yaml symbole zastępcze w pliku w folderze azure-storage-identity .

    • Zastąp <YourContainerImage> ciąg nazwą obrazu, który tworzymy w ostatnim kroku, na przykład <MyRegistry>.azurecr.io/sc-demo-storage-identity:latest.
    • Zastąp <ServiceAccountCreatedByServiceConnector> element kontem usługi utworzonym przez łącznik usługi po utworzeniu połączenia. Możesz sprawdzić nazwę konta usługi w witrynie Azure Portal łącznika usługi.
    • Zastąp ciąg <SecretCreatedByServiceConnector> wpisem tajnym utworzonym przez łącznik usługi po utworzeniu połączenia. Możesz sprawdzić nazwę wpisu tajnego w witrynie Azure Portal łącznika usługi.
  2. Wdróż zasobnik w klastrze za pomocą kubectl apply polecenia . Zainstaluj kubectl lokalnie przy użyciu polecenia az aks install-cli , jeśli nie jest zainstalowany. Polecenie tworzy zasobnik o nazwie sc-demo-storage-identity w domyślnej przestrzeni nazw klastra usługi AKS.

    kubectl apply -f pod.yaml
    
  3. Sprawdź, czy wdrożenie zakończyło się pomyślnie, wyświetlając zasobnik za pomocą polecenia kubectl.

    kubectl get pod/sc-demo-storage-identity.
    
  4. Sprawdź, czy połączenie zostało nawiązane, wyświetlając dzienniki za pomocą polecenia kubectl.

    kubectl logs pod/sc-demo-storage-identity
    

Czyszczenie zasobów

Jeśli nie musisz ponownie używać zasobów utworzonych w tym samouczku, usuń wszystkie utworzone zasoby, usuwając grupę zasobów.

az group delete \
    --resource-group MyResourceGroup

Następne kroki

Przeczytaj następujące artykuły, aby dowiedzieć się więcej na temat pojęć dotyczących łącznika usług i sposobu, w jaki pomaga on usłudze AKS łączyć się z usługami.