Развертывание из частного реестра контейнеров в локальную среду Kubernetes с помощью Реестр контейнеров Azure и AKS Arc

Область применения: Azure Stack HCI, версия 23H2

В этой статье описывается развертывание образов контейнеров из частного реестра контейнеров с помощью Реестр контейнеров Azure, которые можно запускать в собственном центре обработки данных в развертываниях AKS Arc. Развертывание выполняется в локальном кластере Kubernetes, размещенном в AKS. Реестр контейнеров Azure позволяет создавать, хранить и администрировать образы и артефакты контейнеров в частном реестре для всех типов развертываний контейнеров.

В этой статье описывается, как создать частный реестр контейнеров в Azure и отправить образ контейнера в частный реестр контейнеров. Затем можно выполнить развертывание из частного реестра в локальный кластер Kubernetes, размещенный в AKS Arc.

Дополнительные сведения о Реестр контейнеров Azure см. в документации по Реестр контейнеров Azure.

Предварительные требования

Убедитесь, что у вас есть следующие требования:

• Базовое понимание концепций Kubernetes.
• Запущенный и работающий кластер AKS.
• Установленный Интерфейс командной строки Azure
• Локальная среда kubectl настроена для указания на кластер AKS.

Создание частного реестра контейнеров в Azure

Чтобы создать реестр контейнеров, начните с группы ресурсов. Группа ресурсов Azure является логическим контейнером, в котором происходит развертывание ресурсов Azure и управление ими. Создайте группу ресурсов с помощью команды az group create. В следующем примере создается группа ресурсов в регионе eastus :

az group create --name <RESOURCE_GROUP_NAME> --location eastus

Создайте экземпляр Реестра контейнеров с помощью команды az acr create и укажите собственное имя реестра. Имя реестра должно быть уникальным в пределах Azure и содержать от 5 до 50 буквенно-цифровых символов. В оставшейся части этой статьи <acrName> используется в качестве заполнителя для имени реестра контейнеров, но вы можете указать собственное уникальное имя реестра. SKU "Базовый " — это оптимизированная для затрат точка входа для целей разработки, которая обеспечивает баланс между хранилищем и пропускной способностью:

az acr create --resource-group <RESOURCE_GROUP_NAME> --name <REGISTRY_NAME> --sku Basic

После создания реестра контейнеров используйте следующую команду, чтобы создать субъект-службу, чтобы получить доступ к реестру контейнеров из Kubernetes:

az ad sp create-for-rbac /
--scopes /subscriptions/<SUBSCRIPTION_ID>/resourcegroups/<RG_NAME>/providers/Microsoft.ContainerRegistry/registries/<REGISTRY_NAME> /
--role Contributor /
--name <SERVICE_PRINCIPAL_NAME>

Реестр контейнеров Azure поддерживает три роли доступа. Роль Участника чаще всего используется разработчиками приложений. Однако в реальных сценариях может потребоваться создать несколько субъектов-служб в зависимости от типа необходимого доступа:

• Участник. Эта роль предлагает отправку и доступ на вытягивание в репозиторий.
• Читатель. Эта роль разрешает только доступ на вытягивание в репозиторий.
• Владелец. Эта роль позволяет назначать роли другим пользователям в дополнение к отправке и доступ на вытягивание в репозиторий.

Предыдущая команда должна вывести выходные данные, аналогичные следующему тексту:

{
"appId": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"displayName": "akshci-service-principal",
"name": "http://akshci-service-principal",
"password": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"tenant": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}

После успешного создания субъекта-службы скопируйте appId и пароль в безопасное расположение, чтобы использовать их позже в развертывании.

Дополнительные сведения о работе с субъектами-службами и Реестром контейнеров Azure см. в статье Аутентификация в реестре контейнеров Azure с помощью субъектов-служб.

Вход в частный реестр контейнеров

Чтобы использовать экземпляр Реестра контейнеров, необходимо сначала войти в систему. Для входа можно использовать Azure CLI или Интерфейс командной строки Docker.

Вариант 1. Вход с помощью Azure CLI

Используйте команду az acr sign in и укажите уникальное имя, присвоенное реестру контейнеров на предыдущем шаге:

az acr login --name <REGISTRY_NAME>

Вариант 2. Вход с помощью Docker CLI

Чтобы использовать Интерфейс командной строки Docker для доступа к реестру контейнеров, введите следующую команду в терминале Bash или PowerShell:

docker login <REGISTRY_NAME>.azurecr.io -u <appId> -p <password>

В любом из этих вариантов команда должна возвращать сообщение об успешном входе после завершения.

Отправка образа в реестр контейнеров

После успешного входа в систему можно приступить к отправке образа в Реестр контейнеров. Сначала выполните команду docker images, чтобы просмотреть список образов на локальном компьютере:

REPOSITORY TAG IMAGE ID CREATED SIZE

mcr.microsoft.com/azure-functions/dotnet 3.0 9f8ad1bdee67 5 months ago
540MB

poemfinder-app latest 2d9bef425603 6 months ago 208MB

Чтобы приступить к работе, пометьте образ с помощью команды docker tag , а затем отправьте его в реестр контейнеров с помощью docker push :

docker tag poemfinder-app <REGISTRY_NAME>.azurecr.io/poemfinder-app:v1.0

Убедитесь, что образ помечен правильно, выполнив команду docker images еще раз. После подтверждения выполните команду docker push для отправки в реестр контейнеров следующим образом:

docker push <REGISTRY_NAME>.azurecr.io/poemfinder-app:v1.0

Чтобы убедиться, что образ успешно отправлен в реестр контейнеров, выполните следующую команду:

az acr repository list --name <REGISTRY_NAME>.azurecr.io --output table

Развертывание образа из реестра контейнеров в AKS

Чтобы развернуть образ контейнера из реестра контейнеров в кластере Kubernetes, создайте секреты Kubernetes для хранения учетных данных реестра. Kubernetes использует секрет для извлечения образа с целью хранения сведений, необходимых для проверки подлинности реестра. Чтобы создать секрет по запросу для реестра контейнеров, укажите идентификатор субъекта-службы, пароль и URL-адрес реестра:

kubectl create secret docker-registry <secret-name> \
--namespace <namespace> \
--docker-server=<REGISTRY_NAME>.azurecr.io \
--docker-username=<appId> \
--docker-password=<password>

В следующей таблице описаны входные параметры:

Значение	Описание
secret-name	Имя образа извлекает секрет; например, acr-secret.
namespace	Пространство имен Kubernetes, в которое нужно поместить секрет. Требуется только в том случае, если вы хотите поместить секрет в пространство имен, отличное от пространства имен по умолчанию.
<REGISTRY_NAME>	Имя реестра контейнеров. Например, myregistry. — --docker-server это полное имя сервера входа в реестр.
appId	Идентификатор субъекта-службы, который Kubernetes использует для доступа к реестру.
password	Пароль субъекта-службы.

После создания секрета извлечения образа его можно использовать для создания модулей pod и развертываний Kubernetes. Укажите имя секрета imagePullSecrets в файле развертывания, как показано в следующем примере:

apiVersion: v1
kind: Pod
metadata:
name: poemfinder-app
namespace: mydemoapps
spec:
containers:
 - name: poemfinder-app
   image: <REGISTRY_NAME>.azurecr.io/poemfinder-app:v1.0
   imagePullPolicy: IfNotPresent
 - imagePullSecrets:
   - name: acr-secret

В этом примере — это имя образа, извлекаемого из реестра контейнеров, а acr-secret — имя секрета извлечения, poemfinder-app:v1.0 созданного для доступа к реестру. При развертывании модуля pod Kubernetes автоматически извлекает образ из реестра, если он еще не присутствует в кластере.

Вы можете сохранить описанную выше конфигурацию pod в файле , например pod-example.yaml , а затем развернуть ее в Kubernetes следующим образом:

kubectl create -f pod-example.yaml

Чтобы убедиться, что модуль pod успешно создан с помощью образа контейнера из реестра контейнеров, выполните команду kubectl describe pod <POD_NAME>, в которой должен отображаться образ контейнера, используемый для создания модуля pod.

Дальнейшие действия

• Ознакомьтесь с предварительными условиями AKS в Azure Stack HCI 23H2
• Новые возможности AKS в Azure Stack HCI