Início Rápido: Criar uma conexão de serviço no cluster do AKS com a CLI do Azure

Este início rápido mostra como conectar o AKS (Serviço de Kubernetes do Azure) a outros recursos de nuvem usando a CLI do Azure e o conector de serviço. O Conector de Serviço permite conectar rapidamente os serviços de computação aos serviços de nuvem, enquanto gerencia as configurações de autenticação e rede da sua conexão.

Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.

Pré-requisitos

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.

  

• Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.

  • Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.

  • Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.

  • Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.

• Este guia de início rápido exige a versão 2.30.0 ou superior da CLI do Azure. Se você está usando o Azure Cloud Shell, a versão mais recente já está instalada.
• Este início rápido pressupõe que você já tenha um cluster do AKS. Caso você ainda não tenha um, crie um cluster do AKS.
• Este início rápido pressupõe que você já tenha uma conta do Armazenamento do Microsoft Azure. Se você ainda não tiver uma, crie uma conta de Armazenamento do Azure.

Configuração inicial

1. Se você estiver usando o Service Connector pela primeira vez, comece executando o comando az provider register para registrar os provedores de recursos do Service Connector e da Configuração do Kubernetes.

   az provider register -n Microsoft.ServiceLinker
   

   az provider register -n Microsoft.KubernetesConfiguration
   

   Dica

   Você pode verificar se esses provedores de recursos já foram registrados executando os comandos az provider show -n "Microsoft.ServiceLinker" --query registrationState e az provider show -n "Microsoft.KubernetesConfiguration" --query registrationState.

2. Opcionalmente, use o comando da CLI do Azure para obter uma lista de serviços de destino com suporte para o cluster do AKS.

   az aks connection list-support-types --output table
   

Criar uma conexão de serviço

Como usar uma identidade de carga de trabalho

Importante

O uso da Identidade Gerenciada requer que você tenha permissão para atribuição de função do Microsoft Entra ID. Se você não tiver a permissão, a criação da conexão falhará. Você pode solicitar ao proprietário da assinatura a permissão ou usar uma chave de acesso para criar a conexão.

Use o comando da CLI do Azure para criar uma conexão de serviço com um Armazenamento de Blobs com uma identidade de carga de trabalho, fornecendo as seguintes informações:

• Nome do grupo de recursos do serviço de computação de origem: o nome do grupo de recursos do cluster do AKS.
• Nome do cluster do AKS: o nome do cluster do AKS que se conecta ao serviço de destino.
• Nome do grupo de recursos do serviço de destino: o nome do grupo de recursos do Armazenamento de Blobs.
• Nome da conta de armazenamento: o nome da conta do Armazenamento de Blobs.
• ID do recurso da identidade atribuída pelo usuário: a ID do recurso da identidade atribuída pelo usuário que é usada para criar a identidade de carga de trabalho

az aks connection create storage-blob \
    --workload-identity <user-identity-resource-id>

Observação

Se você não tiver um Armazenamento de Blobs, execute az aks connection create storage-blob --new --workload-identity <user-identity-resource-id>" para provisionar um novo e conectar-se diretamente ao aplicativo de funções.

Usar uma chave de acesso

Aviso

A Microsoft recomenda usar o fluxo de autenticação mais seguro disponível. O fluxo de autenticação descrito neste procedimento exige um grau muito alto de confiança no aplicativo e traz riscos que não estão presentes em outros fluxos. Você só deve usar esse fluxo quando outros fluxos mais seguros, como identidades gerenciadas, não forem viáveis.

Execute o comando da CLI do Azure para a seguir para criar uma conexão de serviço com um Armazenamento de Blobs do Azure com uma chave de acesso, fornecendo as informações abaixo.

az aks connection create storage-blob --secret

Quando solicitado, forneça as seguintes informações:

• Nome do grupo de recursos do serviço de computação de origem: o nome do grupo de recursos do cluster do AKS.
• Nome do cluster do AKS: o nome do cluster do AKS que se conecta ao serviço de destino.
• Nome do grupo de recursos do serviço de destino: o nome do grupo de recursos do Armazenamento de Blobs.
• Nome da conta de armazenamento: o nome da conta do Armazenamento de Blobs.

Observação

Se você não tiver um Armazenamento de Blobs, poderá executar az aks connection create storage-blob --new --secret para provisionar um novo e conectá-lo ao cluster do AKS.

Exibir conexões

Use o comando az aks connection list da CLI do Azure para listar as conexões com o cluster do AKS, fornecendo as seguintes informações:

• Nome do grupo de recursos do serviço de computação de origem: o nome do grupo de recursos do cluster do AKS.
• Nome do cluster do AKS: o nome do cluster do AKS que se conecta ao serviço de destino.

az aks connection list \
    -g "<your-aks-cluster-resource-group>" \
    -n "<your-aks-cluster-name>" \
    --output table

Próximas etapas

Acesse os tutoriais a seguir para começar a conectar o cluster do AKS aos serviços do Azure com o conector de serviço.

Tutorial: Conectar-se ao Azure Key Vault usando o driver CSI

Tutorial: Conectar-se ao Armazenamento do Microsoft Azure usando uma identidade de carga de trabalho