Requisitos do sistema para Serviço de Kubernetes do Azure no Azure Stack HCI e no Windows Server

Aplica-se a: Azure Stack HCI, versões 21H2 e 20H2; Windows Server 2022 Datacenter, Windows Server 2019 Datacenter

Este artigo aborda os requisitos para configurar Serviço de Kubernetes do Azure no Azure Stack HCI ou no Windows Server Datacenter e usá-lo para criar clusters do Kubernetes. Para obter uma visão geral do AKS no Azure Stack HCI e no Windows Server, consulte o AKS na visão geral do Azure Stack HCI e do Windows Server.

Requisitos do Active Directory

Para que o AKS no Azure Stack HCI e no Windows Server ou no Windows Server Datacenter funcionem de forma ideal em um ambiente do Active Directory, verifique se os seguintes requisitos são atendidos:

  • Configure a sincronização de tempo para que a divergência não seja maior que 2 minutos em todos os nós de cluster e no controlador de domínio. Para obter informações sobre como definir a sincronização de tempo, consulte o Serviço de Tempo do Windows.

  • Verifique se as contas de usuário usadas para adicionar atualização e gerenciar o AKS nos clusters do Azure Stack HCI e do Windows Server ou do Windows Server Datacenter têm as permissões corretas no Active Directory. Se você estiver usando UOs (Unidades Organizacionais) para gerenciar políticas de grupo para servidores e serviços, as contas de usuário exigirão permissões de lista, leitura, modificação e exclusão em todos os objetos na UO.

  • Use uma UO (unidade organizacional) separada para os servidores e serviços do AKS nos clusters do Azure Stack HCI e do Windows Server ou do Windows Server Datacenter. O uso de uma UO separada permite controlar o acesso e as permissões com mais granularidade.

  • Se você estiver usando modelos de GPO em contêineres no Active Directory, verifique se a implantação do AKS no Azure Stack HCI e no Windows Server está isenta da política. O proteção do servidor estará disponível em uma versão subsequente.

Requisitos de hardware

A Microsoft recomenda a compra de uma solução de hardware/software do Azure Stack HCI validada de nossos parceiros. Essas soluções são projetadas, montadas e validadas para executar nossa arquitetura de referência e verificar a compatibilidade e a confiabilidade para que você comece a trabalhar rapidamente. Você deve verificar se os sistemas, componentes, dispositivos e drivers que você está usando são Certificados do Windows Server de acordo com o Catálogo do Windows Server. Visite o site de soluções do Azure Stack HCI para obter soluções validadas.

Especificações máximas de hardware com suporte

Não há suporte para o AKS nas implantações do Azure Stack HCI e do Windows Server que excedam as seguintes especificações:

Recurso Máximo
Servidores físicos por cluster 8
Número total de VMs 200

Requisitos de computação

Requisitos mínimos de memória

Você pode configurar o cluster do AKS da seguinte maneira para executar o AKS em um único nó do Windows Server com RAM limitada.

Tipo de cluster Tamanho da VM do plano de controle Nó de trabalho Para operações de atualização Balanceador de carga
AKS Host Standard_A4_v2 tamanho da VM = 8 GB NA - O host do AKS não tem nós de trabalho 8Gb NA – O host do AKS usa kubevip para balanceamento de carga
Cluster de carga de trabalho Standard_A4_v2 tamanho da VM = 8 GB Standard_K8S3_v1 para 1 nó de trabalho = 6 GB Pode reutilização dos 8 GB reservados acima para a atualização do cluster de carga de trabalho NA se kubevip for usado para balanceamento de carga (em vez do balanceador de carga HAProxy padrão)
Requisito mínimo total 30 GB de RAM

Tenha em mente que o requisito mínimo acima é para uma implantação do AKS-HCI com um nó de trabalho para executar aplicativos em contêineres. Se você optar por adicionar nós de trabalho ou um balanceador de carga HAProxy, o requisito final de RAM será alterado adequadamente.

Ambiente Núcleos de CPU por servidor RAM
Azure Stack HCI ou cluster do Windows Server 32 256 GB
Cluster de failover do Windows Server 32 256 GB
Windows Server de nó único 16 128 GB

Para um dimensionamento final do ambiente de produção dependerá do aplicativo e do número de nós de trabalho que você está planejando implantar no cluster do Azure Stack HCI ou do Windows Server. Se você optar por executar o AKS em um único nó do Windows Server, não obterá recursos como alta disponibilidade que vêm com a execução do AKS em um cluster do Azure Stack HCI ou windows server ou cluster de failover do Windows Server.

Outros requisitos de computação para o AKS no Azure Stack HCI e no Windows Server estão em conformidade com os requisitos do Azure Stack HCI. Visite os requisitos do sistema Azure Stack HCI para obter mais detalhes sobre os requisitos do servidor do Azure Stack HCI.

Você deve instalar o mesmo sistema operacional em cada servidor no cluster. Se você estiver usando o Azure Stack HCI, o mesmo sistema operacional e a versão deverão estar no mesmo em cada servidor no cluster. Se você estiver usando o Windows Server Datacenter, o mesmo sistema operacional e a versão deverão ser os mesmos em cada servidor no cluster. Cada sistema operacional deve usar as EN-US seleções de região e idioma. Não é possível alterar essas configurações após a instalação.

Requisitos de armazenamento

As seguintes implementações de armazenamento têm suporte do AKS no Azure Stack HCI e no Windows Server:

Nome Tipo de armazenamento Capacidade necessária
Azure Stack HCI Cluster Volumes Compartilhados Clusterizados 1 TB
Cluster de failover do Windows Server Datacenter Volumes Compartilhados Clusterizados 1 TB
Datacenter do Windows Server de nó único Armazenamento Anexado Direto 500 GB

Para um cluster do Azure Stack HCI ou do Windows Server, você tem duas configurações de armazenamento com suporte para executar cargas de trabalho de máquina virtual.

  • O armazenamento híbrido equilibra o desempenho e a capacidade usando HDDs (unidades de disco rígido e armazenamento flash).
  • O armazenamento all-flash maximiza o desempenho usando SSDs (unidades de estado sólido) ou NVMe.

Sistemas que têm apenas armazenamento baseado em HDD não têm suporte no Azure Stack HCI e, portanto, não são recomendados para executar o AKS no Azure Stack HCI e no Windows Server. Você pode ler mais sobre as configurações de unidade recomendadas na documentação do Azure Stack HCI. Todos os sistemas que foram validados no catálogo do Azure Stack HCI se enquadram em uma das duas configurações de armazenamento com suporte acima.

O Kuberentes usa etcd para armazenar o estado dos clusters. O Etcd armazena a configuração, as especificações e o status dos pods em execução. Além disso, o Kubernetes usa o repositório para descoberta de serviço. Como um componente de coordenação para a operação do Kubernetes e as cargas de trabalho compatíveis, a latência e a taxa de transferência para etcd são críticas. Você deve executar o AKS em um SSD. Para obter mais informações, desempenho em etcd.io.

Para um cluster baseado em Datacenter do Windows Server, você pode implantar com armazenamento local ou armazenamento baseado em SAN. Para o armazenamento local, é recomendável usar o Espaços de Armazenamento Diretos interno ou uma solução san virtual certificada equivalente para criar uma infraestrutura hiperconvergente que apresenta volumes compartilhados de cluster para uso por cargas de trabalho. Para Espaços de Armazenamento Diretos, é necessário que o armazenamento seja híbrido (flash + HDD) que balancee o desempenho e a capacidade ou o SSD (SSD, NVMe) que maximize o desempenho. Se você optar por implantar com armazenamento baseado em SAN, verifique se o armazenamento san pode fornecer desempenho suficiente para executar várias cargas de trabalho de máquina virtual. O armazenamento SAN baseado em HDD mais antigo pode não fornecer os níveis necessários de desempenho para executar várias cargas de trabalho de máquina virtual, e você pode ver problemas de desempenho e tempos limite.

Para implantações do Windows Server de nó único usando o armazenamento local, o uso de armazenamento all-flash (SSD, NVMe) é altamente recomendado para fornecer o desempenho necessário para hospedar várias máquinas virtuais em um único host físico. Sem armazenamento flash, os níveis inferiores de desempenho em HDDs podem causar problemas de implantação e tempos limite.

Requisitos de rede

Os seguintes requisitos se aplicam a um cluster do Azure Stack HCI ou do Windows Server e a um cluster do Windows Server Datacenter:

  • Verifique se você tem um comutador virtual externo existente configurado se estiver usando Windows Admin Center. Para clusters do Azure Stack HCI ou do Windows Server, essa opção e seu nome devem ser os mesmos em todos os nós de cluster.

  • Verifique se você desabilitou o IPv6 em todos os adaptadores de rede.

  • Para uma implantação bem-sucedida, os nós de cluster do Azure Stack HCI ou do Windows Server e as VMs de cluster do Kubernetes devem ter conectividade externa com a Internet.

  • Verifique se todas as sub-redes definidas para o cluster são roteáveis entre si e para a Internet.

  • Verifique se há conectividade de rede entre os hosts do Azure Stack HCI e as VMs de locatário.

  • A resolução de nomes DNS é necessária para que todos os nós possam se comunicar entre si.

  • (Recomendado) Habilite atualizações dinâmicas de DNS em seu ambiente DNS para permitir que o AKS no Azure Stack HCI e no Windows Server registrem o nome do cluster genérico do agente de nuvem no sistema DNS para descoberta.

Atribuição de endereço IP

No AKS no Azure Stack HCI e no Windows Server, as redes virtuais são usadas para alocar endereços IP aos recursos do Kubernetes que exigem eles, conforme listado acima. Há dois modelos de rede para escolher, dependendo do AKS desejado na arquitetura de rede do Azure Stack HCI e do Windows Server.

Observação

A arquitetura de rede virtual definida aqui para suas implantações do AKS no Azure Stack HCI e no Windows Server é diferente da arquitetura de rede física subjacente em seu data center.

  • Rede IP estática

    A rede virtual aloca endereços IP estáticos para o servidor de API de cluster do Kubernetes, nós do Kubernetes, VMs subjacentes, balanceadores de carga e quaisquer serviços do Kubernetes executados em cima do cluster.

  • Rede DHCP

    A rede virtual aloca endereços IP dinâmicos para os nós do Kubernetes, VMs subjacentes e balanceadores de carga usando um servidor DHCP. O servidor de API de cluster do Kubernetes e todos os serviços do Kubernetes executados em cima do cluster ainda são endereços IP estáticos alocados.

Reserva mínima de endereço IP

No mínimo, você deve reservar o seguinte número de endereços IP para sua implantação:

Tipo de cluster Nó do plano de controle Nó de trabalho Para operações de atualização Balanceador de carga
AKS Host 1 IP NA 2 IP NA
Cluster de carga de trabalho 1 IP por nó 1 IP por nó 5 IP 1 IP

Além disso, você deve reservar o seguinte número de endereços IP para o pool VIP:

Tipo de recurso Número de endereços IP
Servidor de API de cluster 1 por cluster
Serviços Kubernetes 1 por serviço

Como você pode ver, o número de endereços IP necessários é variável dependendo do AKS na arquitetura do Azure Stack HCI e do Windows Server e do número de serviços executados no cluster do Kubernetes. Recomendamos reservar um total de 256 endereços IP (/24 sub-rede) para sua implantação.

Para obter mais informações sobre os requisitos de rede, visite os conceitos de rede de nó no AKS no Azure Stack HCI e no Windows Server e conceitos de rede de contêiner no AKS no Azure Stack HCI e no Windows Server.

Requisitos de URL e porta de rede

Requisitos do AKS no Azure Stack HCI e no Windows Server

Ao criar um Cluster de Kubernetes do Azure no Azure Stack HCI, as portas de firewall a seguir são abertas automaticamente em cada servidor no cluster.

Se os nós de cluster físico do Azure Stack HCI e as VMs do Cluster do Kubernetes do Azure estiverem em duas vlans isoladas, essas portas precisarão ser abertas no Firewall entre elas.

Porta Fonte Descrição Notas de firewall
22 AKS VMs Necessário para coletar logs ao usar Get-AksHciLogs Se estiver usando VLANs separados, os Hosts Hyper-V físicos precisarão acessar as VMs do AKS nesta porta.
6443 AKS VMs Necessário para se comunicar com APIs do Kubernetes Se estiver usando VLANs separados, os Hosts Hyper-V físicos precisarão acessar as VMs do AKS nesta porta.
45000 Hosts Hyper-V físicos wssdAgent gRPC Server Nenhuma regra de VLAN cruzada é necessária.
45001 Hosts Hyper-V físicos Autenticação gRPC wssdAgent Nenhuma regra de VLAN cruzada é necessária.
46000 AKS VMs wssdCloudAgent to lbagent Se estiver usando VLANs separados, os Hosts Hyper-V físicos precisarão acessar as VMs do AKS nesta porta.
55000 Recurso de cluster (-CloudServiceCIDR) Cloud Agent gRPC Server Se estiver usando VLANs separados, as VMs do AKS precisarão acessar o IP do Recurso de Cluster nesta porta.
65000 Recurso de cluster (-CloudServiceCIDR) Autenticação gRPC do Cloud Agent Se estiver usando VLANs separados, as VMs do AKS precisarão acessar o IP do Recurso de Cluster nesta porta.

Se sua rede exigir o uso de um servidor proxy para se conectar à Internet, consulte Usar configurações de servidor proxy no AKS no Azure Stack HCI e no Windows Server.

As URLs a seguir precisam ser adicionadas à sua lista de permissões.

URL Porta Observações
msk8s.api.cdp.microsoft.com 443 Usado ao baixar o AKS no catálogo de produtos do Azure Stack HCI, bits de produto e imagens do sistema operacional do SFS. Ocorre ao executar Set-AksHciConfig e a qualquer momento você baixa do SFS.
msk8s.b.tlu.dl.delivery.mp.microsoft.com 80 Usado ao baixar o AKS no catálogo de produtos do Azure Stack HCI, bits de produto e imagens do sistema operacional do SFS. Ocorre ao executar Set-AksHciConfig e a qualquer momento você baixa do SFS.
msk8s.f.tlu.dl.delivery.mp.microsoft.com 80 Usado ao baixar o AKS no catálogo de produtos do Azure Stack HCI, bits de produto e imagens do sistema operacional do SFS. Ocorre ao executar Set-AksHciConfig e a qualquer momento você baixa do SFS.
login.microsoftonline.com 443 Usado para fazer logon no Azure ao executar Set-AksHciRegistration.
login.windows.net 443 Usado para fazer logon no Azure ao executar Set-AksHciRegistration.
management.azure.com 443 Usado para fazer logon no Azure ao executar Set-AksHciRegistration.
www.microsoft.com 443 Usado para fazer logon no Azure ao executar Set-AksHciRegistration.
msft.sts.microsoft.com 443 Usado para fazer logon no Azure ao executar Set-AksHciRegistration.
graph.windows.net 443 Usado para fazer logon no Azure ao executar Set-AksHciRegistration.
ecpacr.azurecr.io 443 Necessário para efetuar pull de imagens de contêiner durante a execução Install-AksHci.
*.blob.core.windows.net ponto de extremidade dos EUA: wus2replica*.blob.core.windows.net 443 Necessário para efetuar pull de imagens de contêiner durante a execução Install-AksHci.
mcr.microsoft.com, *.mcr.microsoft.com 443 Necessário para efetuar pull de imagens de contêiner durante a execução Install-AksHci.
akshci.azurefd.net 443 Necessário para a cobrança do AKS no Azure Stack HCI ao executar Install-AksHci.
v20.events.data.microsoft.com 443 Usado periodicamente para enviar dados de diagnóstico necessários da Microsoft do host do Azure Stack HCI ou do Windows Server.
adhs.events.data.microsoft.com 443 Usado periodicamente para enviar dados de diagnóstico necessários da Microsoft dos nós do plano de controle.

Requisitos do Arc para Kubernetes

Observação

Como o cluster de gerenciamento (host do AKS) usa o Azure Arc para cobrança, você deve seguir esses requisitos de rede para clusters do Kubernetes habilitados para Azure Arc.

Requisitos do Azure Stack HCI

Observação

Você também deve examinar as URLs do Azure Stack HCI.

Requisitos do Arc para servidores

Observação

Como o Arc para servidores é instalado por padrão nos nós do Azure Stack HCI do Azure Stack HCI 21H2 em diante, você também deve examinar as URLs do Arc para agentes de servidor.

requisitos de Windows Admin Center

Windows Admin Center é a interface do usuário para criar e gerenciar o AKS no Azure Stack HCI e no Windows Server. Para usar Windows Admin Center com o AKS no Azure Stack HCI e no Windows Server, você deve atender a todos os critérios na lista abaixo.

Aqui estão os requisitos para o computador que executa o gateway de Windows Admin Center:

  • computador Windows 10 ou Windows Server
  • Registrado no Azure
  • No mesmo domínio que o Azure Stack HCI ou o cluster do Windows Server Datacenter
  • Uma assinatura do Azure na qual você é proprietário. Você pode verificar o nível de acesso navegando até sua assinatura e clicando no controle de acesso (IAM) no lado esquerdo do portal do Azure e clicando em Exibir meu acesso.

Requisitos do Azure

Você precisará se conectar à sua conta do Azure.

Assinatura e conta do Azure

Se você ainda não tiver uma conta do Azure, crie uma. Você pode usar uma assinatura existente de qualquer tipo:

Azure AD permissões, nível de função e acesso

Você deve ter permissões suficientes para registrar um aplicativo com seu locatário Azure AD.

Para verificar se você tem permissões suficientes, siga as informações abaixo:

  • Vá para o portal do Azure e selecione Funções e administradores no Azure Active Directory para verificar sua função.
  • Se sua função for Usuário, você deve verificar se os não administradores podem registrar aplicativos.
  • Para verificar se você pode registrar aplicativos, acesse as configurações do usuário no serviço do Azure Active Directory para verificar se você tem permissão para registrar um aplicativo.

Se a configuração de registros de aplicativo está definida como Não, somente os usuários com uma função de administrador podem registrar esses tipos de aplicativos. Para saber mais sobre as funções de administrador disponíveis e as permissões específicas em Azure AD que são fornecidas a cada função, consulte Azure AD funções internas. Se sua conta receber a função de Usuário , mas a configuração de registro do aplicativo estiver limitada a usuários administradores, peça ao administrador para atribuir uma das funções de administrador que podem criar e gerenciar todos os aspectos dos registros de aplicativo ou para permitir que os usuários registrem aplicativos.

Se você não tiver permissões suficientes para registrar um aplicativo e seu administrador não puder conceder essas permissões, a maneira mais fácil de implantar o AKS no Azure Stack HCI e no Windows Server é pedir ao administrador do Azure para criar uma entidade de serviço com as permissões corretas. Os administradores podem verificar a seção a seguir para saber como criar uma entidade de serviço.

Nível de acesso e função de assinatura do Azure

Para verificar o nível de acesso, navegue até sua assinatura, selecione Controle de acesso (IAM) no lado esquerdo do portal do Azure e selecione Exibir meu acesso.

  • Se você estiver usando Windows Admin Center para implantar um host do AKS ou um cluster de carga de trabalho do AKS, deverá ter uma assinatura do Azure na qual você é proprietário.
  • Se você estiver usando o PowerShell para implantar um host do AKS ou um cluster de carga de trabalho do AKS, o usuário que está registrando o cluster deverá ter pelo menos um dos seguintes:

Se sua assinatura do Azure for por meio de um EA ou CSP, a maneira mais fácil de implantar o AKS no Azure Stack HCI e no Windows Server é solicitar ao administrador do Azure que crie uma entidade de serviço com as permissões corretas. Os administradores podem verificar a seção abaixo sobre como criar uma entidade de serviço.

Opcional: criar uma nova entidade de serviço

Execute as etapas a seguir para criar uma nova entidade de serviço com a função de cluster conectada do Microsoft.Kubernetes interna. Somente os proprietários de assinatura podem criar entidades de serviço com a atribuição de função correta. Você pode verificar o nível de acesso navegando até sua assinatura, clicando no controle de acesso (IAM) no lado esquerdo do portal do Azure e clicando em Exibir meu acesso.

Instale e importe os seguintes módulos de Azure PowerShell:

Install-Module -Name Az.Accounts -Repository PSGallery -RequiredVersion 2.2.4
Import-Module Az.Accounts 
Install-Module -Name Az.Resources -Repository PSGallery -RequiredVersion 3.2.0
Import-Module Az.Resources
Install-Module -Name AzureAD -Repository PSGallery -RequiredVersion 2.0.2.128
Import-Module AzureAD

Feche todas as janelas do PowerShell e reabra uma nova sessão administrativa.

Entre no Azure usando o comando Connect-AzAccount PowerShell:

Connect-AzAccount

Defina a assinatura que você deseja usar para registrar o host do AKS para cobrança como a assinatura padrão executando o comando Set-AzContext .

Set-AzContext -Subscription myAzureSubscription

Verifique se o contexto de entrada está correto executando o comando Get-AzContext PowerShell. Verifique se a assinatura, o locatário e a conta são o que você deseja usar para registrar o host do AKS para cobrança.

Get-AzContext
Name                                     Account                      SubscriptionName             Environment                  TenantId
----                                     -------                      ----------------             -----------                  --------
myAzureSubscription (92391anf-...        user@contoso.com             myAzureSubscription          AzureCloud                   xxxxxx-xxxx-xxxx-xxxxxx

Crie uma entidade de serviço executando o comando New-AzADServicePrincipal PowerShell. Esse comando cria uma entidade de serviço com a "Microsoft. Função do cluster conectado do Kubernetes e define o escopo em um nível de assinatura. Para obter mais informações sobre como criar entidades de serviço, visite criar uma entidade de serviço do Azure com Azure PowerShell.

$sp = New-AzADServicePrincipal -role "Microsoft.Kubernetes connected cluster"

Recupere a senha da entidade de serviço executando o seguinte comando:

$secret = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret))
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"

Na saída acima, agora você tem a ID do aplicativo e o segredo disponíveis ao implantar o AKS no Azure Stack HCI e no Windows Server. Você deve anotar esses itens e armazená-los com segurança. Com isso criado, no portal do Azure, em Assinaturas, Controle de Acesso e atribuições de função, você deverá ver sua nova Entidade de Serviço.

Grupo de recursos do Azure

Você deve ter um grupo de recursos do Azure no Leste da Austrália, Leste dos EUA, Sudeste da Ásia ou região do Azure da Europa Ocidental disponível antes do registro.

Próximas etapas

Depois de atender a todos os pré-requisitos acima, você pode configurar um host AKS no Azure Stack HCI usando: