Tutorial – Criar um cluster do AKS (Serviço de Kubernetes do Azure)

Kubernetes fornece uma plataforma distribuída para aplicativos em contêineres. Com o AKS é possível criar rapidamente um cluster Kubernetes pronto para produção.

Neste tutorial, você implantará um cluster kubernetes no AKS. Você aprenderá como:

• Implantar um cluster do AKS que possa se autenticar em um ACR (Registro de Contêiner do Azure).
• Instalar a CLI do Kubernetes, kubectl.
• Configurar o kubectl para se conectar ao cluster do AKS.

Antes de começar

Nos tutoriais anteriores, você criou uma imagem de contêiner e a carregou em uma instância do ACR. Comece a partir do Tutorial 1 – Preparar o aplicativo para o AKS para seguir adiante.

• Se você estiver usando a CLI do Azure, este tutorial exigirá que você esteja executando a CLI do Azure versão 2.35.0 ou posterior. Verifique sua versão com az --version. Para instalar ou atualizar, confira Instalar a CLI do Azure.
• Se você está usando o Azure PowerShell, este tutorial exige que você esteja executando o Azure PowerShell versão 5.9.0 ou posterior. Verifique sua versão com Get-InstalledModule -Name Az. Para instalar ou atualizar, confira Instalar o Azure PowerShell.
• Se você está usando o Azure Developer CLI, este tutorial exige que você esteja executando a versão 1.5.1 ou posterior do Azure Developer CLI. Verifique sua versão com azd version. Para instalar ou atualizar, confira Instalar o Azure Developer CLI.

---

Criar um cluster do Kubernetes

Os clusters do AKS podem usar o RBAC (controle de acesso baseado em função) do Kubernetes, que permite definir o acesso aos recursos com base nas funções atribuídas aos usuários. Se um usuário receber várias funções, as permissões serão combinadas. As permissões podem ter como escopo um só namespace ou todo o cluster.

Para saber mais sobre o AKS e o RBAC do Kubernetes, confira Controle de acesso aos recursos de cluster usando as identidades do RBAC do Kubernetes e do Microsoft Entra no AKS.

CLI do Azure

Este tutorial requer a CLI do Azure versão 2.35.0 ou posterior. Verifique sua versão com az --version. Para instalar ou atualizar, confira Instalar a CLI do Azure. Se você estiver usando o ambiente Bash no Azure Cloud Shell, a versão mais recente já estará instalada.

PowerShell do Azure

Este tutorial exige o Azure PowerShell versão 5.9.0 ou posterior. Verifique sua versão com Get-InstalledModule -Name Az. Para instalar ou atualizar, confira Instalar o Azure PowerShell. Se você está usando o Azure Cloud Shell, a última versão já está instalada.

Azure Developer CLI

Este tutorial exige o Azure Developer CLI, versão 1.5.1 ou posterior. Verifique sua versão com azd version. Para instalar ou atualizar, confira Instalar o Azure Developer CLI.

Instalar a CLI Kubernetes

Use a CLI do Kubernetes kubectl, para se conectar ao cluster do Kubernetes. Se você usa o Azure Cloud Shell, o kubectl já estará instalado. Se você estiver executando os comandos localmente, será possível usar a CLI do Azure ou o Azure PowerShell para instalar kubectl.

CLI do Azure

• Instale kubectl localmente usando o comando az aks install-cli.

  az aks install-cli
  

PowerShell do Azure

• Instale kubectl localmente usando o cmdlet Install-AzAksCliTool.

  Install-AzAksCliTool
  

Azure Developer CLI

Ambientes azd em um codespace baixam automaticamente todas as dependências encontradas em ./devcontainer/devcontainer.json. Isto inclui a CLI do Kubernetes junto com quaisquer imagens do Registro de Contêiner do Azure (ACR).

• Para instalar kubectl localmente, use o comando az aks install-cli.

  az aks install-cli
  

Criar um cluster AKS

Os clusters do AKS podem usar o RBAC (controle de acesso baseado em função) do Kubernetes, que permite definir o acesso aos recursos com base nas funções atribuídas aos usuários. As permissões são combinadas quando são atribuídas várias funções aos usuários. As permissões podem ter como escopo um só namespace ou todo o cluster. Para obter mais informações, consulte Controlar o acesso a recursos de cluster usando o RBAC do Kubernetes e o Microsoft Entra ID no AKS.

Confira Cotas, restrições de tamanho da máquina virtual e disponibilidade da região no AKS para obter informações sobre limites de recurso e disponibilidade de região do AKS.

Importante

Este tutorial cria um cluster de três nós. Para verificar se o cluster opera de maneira confiável, execute pelo menos dois nós. Um mínimo de três nós é necessário para usar o Armazenamento de Contêineres do Azure. Se você receber uma mensagem de erro ao tentar criar o cluster, talvez seja necessário solicitar um aumento de cota para sua assinatura do Azure ou tentar uma região diferente do Azure. Como alternativa, você pode omitir o parâmetro de tamanho de VM do nó para usar o tamanho da VM padrão.

CLI do Azure

Para permitir que um cluster do AKS interaja com outros recursos do Azure, a plataforma do Azure cria uma identidade de cluster. Neste exemplo, a identidade do cluster recebe o direito de efetuar pull de imagens da instância do ACR criada no tutorial anterior. Para executar o comando com êxito, você deve ter uma função de Proprietário ou administrador de conta do Azure em sua assinatura do Azure.

• Crie um cluster do AKS usando o comando az aks create. O exemplo abaixo cria um cluster chamado myAKSCluster no grupo de recursos chamado myResourceGroup. Esse grupo de recursos foi criado no tutorial anterior na região westus2. Continuaremos a usar a variável de ambiente, $ACRNAMEque definimos no tutorial anterior. Se você não tiver essa variável de ambiente definida, defina-a agora com o mesmo valor usado anteriormente.

  az aks create \
      --resource-group myResourceGroup \
      --name myAKSCluster \
      --node-count 3 \
      --node-vm-size standard_l8s_v3 \
      --generate-ssh-keys \
      --attach-acr $ACRNAME
  

  Observação

  Se você já tiver gerado chaves SSH, poderá encontrar um erro semelhante a linuxProfile.ssh.publicKeys.keyData is invalid. Para continuar, repita o comando sem o parâmetro --generate-ssh-keys.

Para evitar a necessidade de uma função Proprietário ou Administrador da conta do Azure, você também pode configurar manualmente uma entidade de serviço para extrair imagens do ACR. Para obter mais informações, confira Autenticação do ACR com entidades de serviço ou Autenticar do Kubernetes com um segredo de pull. Como alternativa, você pode usar uma identidade gerenciada em vez de uma entidade de serviço para facilitar o gerenciamento.

PowerShell do Azure

Para permitir que um cluster do AKS interaja com outros recursos do Azure, a plataforma do Azure cria uma identidade de cluster. Neste exemplo, a identidade do cluster recebe o direito de efetuar pull de imagens da instância do ACR criada no tutorial anterior. Para executar o comando com êxito, é necessário ter a função Proprietário ou Administrador da conta do Azure na assinatura do Azure.

• Criar um cluster de AKS usando o cmdlet New-AzAksCluster. O exemplo abaixo cria um cluster chamado myAKSCluster no grupo de recursos chamado myResourceGroup. Esse grupo de recursos foi criado no tutorial anterior na região westus2.

  New-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster -NodeCount 3 -NodeVmSize standard_l8s_v3 -GenerateSshKey -AcrNameToAttach $ACRNAME
  

  Observação

  Se você já tiver gerado chaves SSH, poderá encontrar um erro semelhante a linuxProfile.ssh.publicKeys.keyData is invalid. Para continuar, repita o comando sem o parâmetro -GenerateSshKey.

Para evitar a necessidade de uma função Proprietário ou Administrador da conta do Azure, você também pode configurar manualmente uma entidade de serviço para extrair imagens do ACR. Para obter mais informações, confira Autenticação do ACR com entidades de serviço ou Autenticar do Kubernetes com um segredo de pull. Como alternativa, você pode usar uma identidade gerenciada em vez de uma entidade de serviço para facilitar o gerenciamento.

Azure Developer CLI

azd empacota a implantação de clusters com o próprio aplicativo usando o comando azd up. Esse comando é abordado no tutorial Implantar aplicativo em contêineres .

Conectar-se ao cluster usando o kubectl

CLI do Azure

1. Configure o kubectl para se conectar ao cluster do Kubernetes usando o comando az aks get-credentials. O exemplo a seguir obtém as credenciais do cluster do AKS chamado myAKSCluster em myResourceGroup.

   az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
   

2. Verifique a conexão com seu cluster usando o comando kubectl get nodes, que retorna uma lista de nós de cluster.

   kubectl get nodes
   

   A saída de exemplo a seguir mostra uma lista dos nós de cluster:

   NAME                                STATUS   ROLES   AGE   VERSION
   aks-nodepool1-19366578-vmss000000   Ready    agent   47h   v1.30.9
   aks-nodepool1-19366578-vmss000001   Ready    agent   47h   v1.30.9
   aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.30.9
   

PowerShell do Azure

1. Configure kubectl para se conectar ao cluster do Kubernetes usando o cmdlet Import-AzAksCredential. O exemplo a seguir obtém as credenciais do cluster do AKS chamado myAKSCluster em myResourceGroup.

   Import-AzAksCredential -ResourceGroupName myResourceGroup -Name myAKSCluster
   

2. Verifique a conexão com seu cluster usando o comando kubectl get nodes, que retorna uma lista de nós de cluster.

   kubectl get nodes
   

   A saída de exemplo a seguir mostra uma lista dos nós no cluster.

   NAME                                STATUS   ROLES   AGE   VERSION
   aks-nodepool1-19366578-vmss000000   Ready    agent   47h   v1.30.9
   aks-nodepool1-19366578-vmss000001   Ready    agent   47h   v1.30.9
   aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.30.9
   

Azure Developer CLI

1. Configure a autenticação para o cluster usando o comando azd auth login.

   azd auth login 
   

2. Siga as instruções do método de autenticação.

3. Verifique a conexão com o cluster usando o comando kubectl get nodes.

   kubectl get nodes
   

   A saída de exemplo a seguir mostra uma lista dos nós de cluster:

   NAME                                STATUS   ROLES   AGE   VERSION
   aks-nodepool1-19366578-vmss000000   Ready    agent   47h   v1.30.9
   aks-nodepool1-19366578-vmss000001   Ready    agent   47h   v1.30.9
   aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.30.9
   

solução alternativa de autenticação do azd

Esta solução alternativa exige que você tenha a CLI do Azure instalada.

1. Abra uma janela de terminal e faça logon com a CLI do Azure usando o comando az login com o parâmetro --scope definido como https://graph.microsoft.com/.default.

   az login --scope https://graph.microsoft.com/.default
   

   Você deverá ser redirecionado para uma página de autenticação em uma nova guia para criar um token de acesso do navegador, conforme mostrado no exemplo a seguir:

   https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize?clientid=<your_client_id>.
   

2. Copie o URL do localhost da página da Web que você recebeu depois de tentar entrar com azd auth login.

3. Em uma nova janela de terminal, use a solicitação curl a seguir para fazer logon. Substitua o espaço reservado <localhost> pelo URL do localhost copiado na etapa anterior.

   curl <localhost>
   

   Um logon bem-sucedido gera uma página da Web HTML, conforme mostrado no exemplo a seguir:

   <!DOCTYPE html>
   <html>
   <head>
       <meta charset="utf-8" />
       <meta http-equiv="refresh" content="60;url=https://docs.microsoft.com/cli/azure/">
       <title>Login successfully</title>
       <style>
           body {
               font-family: 'Segoe UI', Tahoma, Geneva, Verdana, sans-serif;
           }
   
           code {
               font-family: Consolas, 'Liberation Mono', Menlo, Courier, monospace;
               display: inline-block;
               background-color: rgb(242, 242, 242);
               padding: 12px 16px;
               margin: 8px 0px;
           }
       </style>
   </head>
   <body>
       <h3>You have logged into Microsoft Azure!</h3>
       <p>You can close this window, or we will redirect you to the <a href="https://docs.microsoft.com/cli/azure/">Azure CLI documentation</a> in 1 minute.</p>
       <h3>Announcements</h3>
       <p>[Windows only] Azure CLI is collecting feedback on using the <a href="https://learn.microsoft.com/windows/uwp/security/web-account-manager">Web Account Manager</a> (WAM) broker for the login experience.</p>
       <p>You may opt-in to use WAM by running the following commands:</p>
       <code>
           az config set core.allow_broker=true<br>
           az account clear<br>
           az login
       </code>
   </body>
   </html>
   

4. Feche o terminal atual e abra o terminal original. Você deverá ver uma lista JSON de suas assinaturas.

5. Copie o campo id da assinatura que você deseja usar.

6. Defina a assinatura usando o comando az account set.

   az account set --subscription <subscription_id>
   

Próxima etapa

Neste tutorial, você implantou um cluster do Kubernetes no AKS e configurou o kubectl para se conectar com ele. Você aprendeu a:

• Implante um cluster do AKS que possa se autenticar em um ACR.
• Instalar a CLI do Kubernetes, kubectl.
• Configurar o kubectl para se conectar ao cluster do AKS.

No próximo tutorial, você aprenderá a implantar o Armazenamento de Contêineres do Azure em seu cluster e criar um volume efêmero genérico. Se você estiver usando a CLI do Desenvolvedor do Azure ou se não tiver sido capaz de usar um tipo de VM otimizado para armazenamento devido a problemas de cota, vá diretamente para o tutorial Implantar aplicativo em contêineres .

Implantar o Armazenamento de Contêineres do Azure