Tutorial – Criar um cluster do AKS (Serviço de Kubernetes do Azure)

Kubernetes fornece uma plataforma distribuída para aplicativos em contêineres. Com o AKS é possível criar rapidamente um cluster Kubernetes pronto para produção.

Neste tutorial, a terceira parte de sete, um cluster do Kubernetes é implantado no AKS. Você aprenderá como:

• Implantar um cluster do AKS que possa se autenticar em um ACR (Registro de Contêiner do Azure).
• Instalar a CLI do Kubernetes, kubectl.
• Configurar o kubectl para se conectar ao cluster do AKS.

Antes de começar

Nos tutoriais anteriores, você criou uma imagem de contêiner e a carregou em uma instância do ACR. Comece a partir do Tutorial 1 – Preparar o aplicativo para o AKS para seguir adiante.

• Se você está usando a CLI do Azure, este tutorial exige que você esteja executando a CLI do Azure versão 2.0.53 ou posterior. Verifique sua versão com az --version. Para instalar ou atualizar, confira Instalar a CLI do Azure.
• Se você está usando o Azure PowerShell, este tutorial exige que você esteja executando o Azure PowerShell versão 5.9.0 ou posterior. Verifique sua versão com Get-InstalledModule -Name Az. Para instalar ou atualizar, confira Instalar o Azure PowerShell.
• Se você está usando o Azure Developer CLI, este tutorial exige que você esteja executando a versão 1.5.1 ou posterior do Azure Developer CLI. Verifique sua versão com azd version. Para instalar ou atualizar, confira Instalar o Azure Developer CLI.

---

Criar um cluster do Kubernetes

Os clusters do AKS podem usar o RBAC (controle de acesso baseado em função) do Kubernetes, que permite definir o acesso aos recursos com base nas funções atribuídas aos usuários. Se um usuário receber várias funções, as permissões serão combinadas. As permissões podem ter como escopo um só namespace ou todo o cluster.

Para saber mais sobre o AKS e o RBAC do Kubernetes, confira Controle de acesso aos recursos de cluster usando as identidades do RBAC do Kubernetes e do Microsoft Entra no AKS.

CLI do Azure

Este tutorial exige a CLI do Azure versão 2.0.53 ou posterior. Verifique sua versão com az --version. Para instalar ou atualizar, confira Instalar a CLI do Azure.

PowerShell do Azure

Este tutorial exige o Azure PowerShell versão 5.9.0 ou posterior. Verifique sua versão com Get-InstalledModule -Name Az. Para instalar ou atualizar, confira Instalar o Azure PowerShell.

CLI do Desenvolvedor do Azure

Este tutorial exige o Azure Developer CLI, versão 1.5.1 ou posterior. Verifique sua versão com azd version. Para instalar ou atualizar, confira Instalar o Azure Developer CLI.

Instalar a CLI Kubernetes

Use a CLI do Kubernetes kubectl, para se conectar ao cluster do Kubernetes. Se você usa o Azure Cloud Shell, o kubectl já estará instalado. Se você estiver executando os comandos localmente, será possível usar a CLI do Azure ou o Azure PowerShell para instalar kubectl.

CLI do Azure

• Instale kubectl localmente usando o comando az aks install-cli.

  az aks install-cli
  

PowerShell do Azure

• Instale kubectl localmente usando o cmdlet Install-AzAksCliTool.

  Install-AzAksCliTool
  

CLI do Desenvolvedor do Azure

Ambientes azd em um codespace baixam automaticamente todas as dependências encontradas em ./devcontainer/devcontainer.json. Isto inclui a CLI do Kubernetes junto com quaisquer imagens do Registro de Contêiner do Azure (ACR).

• Para instalar kubectl localmente, use o comando az aks install-cli.

  az aks install-cli
  

Criar um cluster AKS

Os clusters do AKS podem usar o RBAC (controle de acesso baseado em função) do Kubernetes, que permite definir o acesso aos recursos com base nas funções atribuídas aos usuários. As permissões são combinadas quando são atribuídas várias funções aos usuários. As permissões podem ter como escopo um só namespace ou todo o cluster. Para obter mais informações, consulte Controlar o acesso a recursos de cluster usando o RBAC do Kubernetes e o Microsoft Entra ID no AKS.

Confira Cotas, restrições de tamanho da máquina virtual e disponibilidade da região no AKS para obter informações sobre limites de recurso e disponibilidade de região do AKS.

Observação

Para verificar se o cluster opera de maneira confiável, execute pelo menos dois nós.

CLI do Azure

Para permitir que um cluster do AKS interaja com outros recursos do Azure, a plataforma do Azure cria uma identidade de cluster. Neste exemplo, a identidade do cluster recebe o direito de efetuar pull de imagens da instância do ACR criada no tutorial anterior. Para executar o comando com êxito, é necessário ter a função Proprietário ou Administrador da conta do Azure na assinatura do Azure.

• Crie um cluster do AKS usando o comando az aks create. O exemplo abaixo cria um cluster chamado myAKSCluster no grupo de recursos chamado myResourceGroup. Esse grupo de recursos foi criado no tutorial anterior na região eastus.

  az aks create \
      --resource-group myResourceGroup \
      --name myAKSCluster \
      --node-count 2 \
      --generate-ssh-keys \
      --attach-acr <acrName>
  

  Observação

  Se você já gerou chaves SSH, você pode obter um erro semelhante a linuxProfile.ssh.publicKeys.keyData is invalid. Para continuar, repita o comando sem o parâmetro --generate-ssh-keys.

Para evitar a necessidade de uma função Proprietário ou Administrador da conta do Azure, você também pode configurar manualmente uma entidade de serviço para extrair imagens do ACR. Para obter mais informações, confira Autenticação do ACR com entidades de serviço ou Autenticar do Kubernetes com um segredo de pull. Como alternativa, você pode usar uma identidade gerenciada em vez de uma entidade de serviço para facilitar o gerenciamento.

PowerShell do Azure

Para permitir que um cluster do AKS interaja com outros recursos do Azure, a plataforma do Azure cria uma identidade de cluster. Neste exemplo, a identidade do cluster recebe o direito de efetuar pull de imagens da instância do ACR criada no tutorial anterior. Para executar o comando com êxito, é necessário ter a função Proprietário ou Administrador da conta do Azure na assinatura do Azure.

• Criar um cluster de AKS usando o cmdlet New-AzAksCluster. O exemplo abaixo cria um cluster chamado myAKSCluster no grupo de recursos chamado myResourceGroup. Esse grupo de recursos foi criado no tutorial anterior na região eastus.

  New-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster -NodeCount 2 -GenerateSshKey -AcrNameToAttach <acrName>
  

  Observação

  Se você já gerou chaves SSH, você pode obter um erro semelhante a linuxProfile.ssh.publicKeys.keyData is invalid. Para continuar, repita o comando sem o parâmetro -GenerateSshKey.

Para evitar a necessidade de uma função Proprietário ou Administrador da conta do Azure, você também pode configurar manualmente uma entidade de serviço para extrair imagens do ACR. Para obter mais informações, confira Autenticação do ACR com entidades de serviço ou Autenticar do Kubernetes com um segredo de pull. Como alternativa, você pode usar uma identidade gerenciada em vez de uma entidade de serviço para facilitar o gerenciamento.

CLI do Desenvolvedor do Azure

azd empacota a implantação de clusters com o próprio aplicativo usando o comando azd up. Esse comando é abordado no próximo tutorial.

Conectar-se ao cluster usando o kubectl

CLI do Azure

1. Configure o kubectl para se conectar ao cluster do Kubernetes usando o comando az aks get-credentials. O exemplo a seguir obtém as credenciais do cluster do AKS chamado myAKSCluster em myResourceGroup.

   az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
   

2. Verifique a conexão com seu cluster usando o comando kubectl get nodes, que retorna uma lista de nós de cluster.

   kubectl get nodes
   

   A saída de exemplo a seguir mostra uma lista dos nós no cluster.

   NAME                                STATUS   ROLES   AGE   VERSION
   aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.25.6
   aks-nodepool1-19366578-vmss000003   Ready    agent   47h   v1.25.6
   

PowerShell do Azure

1. Configure kubectl para se conectar ao cluster do Kubernetes usando o cmdlet Import-AzAksCredential. O exemplo a seguir obtém as credenciais do cluster do AKS chamado myAKSCluster em myResourceGroup.

   Import-AzAksCredential -ResourceGroupName myResourceGroup -Name myAKSCluster
   

2. Verifique a conexão com seu cluster usando o comando kubectl get nodes, que retorna uma lista de nós de cluster.

   kubectl get nodes
   

   A saída de exemplo a seguir mostra uma lista dos nós no cluster.

   NAME                                STATUS   ROLES   AGE   VERSION
   aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.25.6
   aks-nodepool1-19366578-vmss000003   Ready    agent   47h   v1.25.6
   

CLI do Desenvolvedor do Azure

1. Configure a autenticação para o cluster usando o comando azd auth login.

   azd auth login 
   

2. Siga as instruções do método de autenticação.

3. Verifique a conexão com o cluster usando o comando kubectl get nodes.

   kubectl get nodes
   

   A saída de exemplo a seguir mostra uma lista dos nós de cluster

   NAME                                STATUS   ROLES   AGE   VERSION
   aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.25.6
   aks-nodepool1-19366578-vmss000003   Ready    agent   47h   v1.25.6
   

solução alternativa de autenticação da azd

Esta solução alternativa exige que você tenha a CLI do Azure instalada.

1. Abra uma janela de terminal e faça logon com a CLI do Azure usando o comando az login com o parâmetro --scope definido como https://graph.microsoft.com/.default.

   az login --scope https://graph.microsoft.com/.default
   

   Você deverá ser redirecionado para uma página de autenticação em uma nova guia para criar um token de acesso do navegador, conforme mostrado no exemplo a seguir:

   https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize?clientid=<your_client_id>.
   

2. Copie a URL do localhost da página da Web que você recebeu depois de tentar entrar com azd auth login.

3. Em uma nova janela de terminal, use a solicitação curl a seguir para fazer logon. Substitua o espaço reservado <localhost> pela URL do localhost copiada na etapa anterior.

   curl <localhost>
   

   Um logon bem-sucedido gera uma página da Web HTML, conforme mostrado no exemplo a seguir:

   <!DOCTYPE html>
   <html>
   <head>
       <meta charset="utf-8" />
       <meta http-equiv="refresh" content="60;url=https://docs.microsoft.com/cli/azure/">
       <title>Login successfully</title>
       <style>
           body {
               font-family: 'Segoe UI', Tahoma, Geneva, Verdana, sans-serif;
           }
   
           code {
               font-family: Consolas, 'Liberation Mono', Menlo, Courier, monospace;
               display: inline-block;
               background-color: rgb(242, 242, 242);
               padding: 12px 16px;
               margin: 8px 0px;
           }
       </style>
   </head>
   <body>
       <h3>You have logged into Microsoft Azure!</h3>
       <p>You can close this window, or we will redirect you to the <a href="https://docs.microsoft.com/cli/azure/">Azure CLI documentation</a> in 1 minute.</p>
       <h3>Announcements</h3>
       <p>[Windows only] Azure CLI is collecting feedback on using the <a href="https://learn.microsoft.com/windows/uwp/security/web-account-manager">Web Account Manager</a> (WAM) broker for the login experience.</p>
       <p>You may opt-in to use WAM by running the following commands:</p>
       <code>
           az config set core.allow_broker=true<br>
           az account clear<br>
           az login
       </code>
   </body>
   </html>
   

4. Feche o terminal atual e abra o terminal original. Você deverá ver uma lista JSON de suas assinaturas.

5. Copie o campo id da assinatura que você deseja usar.

6. Defina a assinatura usando o comando az account set.

   az account set --subscription <subscription_id>
   

Próximas etapas

Neste tutorial, você implantou um cluster do Kubernetes no AKS e configurou o kubectl para se conectar com ele. Você aprendeu a:

• Implante um cluster do AKS que possa se autenticar em um ACR.
• Instalar a CLI do Kubernetes, kubectl.
• Configurar o kubectl para se conectar ao cluster do AKS.

No próximo tutorial você aprenderá como implantar um aplicativo no cluster.

Implantar um aplicativo no AKS