Руководство. Создание кластера Служба Azure Kubernetes (AKS)

Статья
08/02/2024

Kubernetes предоставляет распределенную платформу для контейнерных приложений. С помощью Служба Azure Kubernetes (AKS) можно быстро создать готовый к работе кластер Kubernetes.

В этом руководстве, часть 3 из семи, вы развернете кластер Kubernetes в AKS. Узнайте следующие темы:

Разверните кластер AKS, который может пройти проверку подлинности в Реестр контейнеров Azure (ACR).
Установите интерфейс командной строки Kubernetes. kubectl
Настройте kubectl подключение к кластеру AKS.

Подготовка к работе

В предыдущих руководствах вы создали образ контейнера и отправьте его в экземпляр ACR. Начните с учебника 1. Подготовка приложения для AKS для выполнения дальнейших инструкций.

Если вы используете Azure CLI, в этом руководстве требуется, чтобы вы работали с Azure CLI версии 2.0.53 или более поздней. Проверьте версию с az --versionпомощью . Чтобы выполнить установку или обновление, см. сведения в статье Установка Azure CLI.
Если вы используете Azure PowerShell, в этом руководстве требуется, чтобы вы работали с Azure PowerShell версии 5.9.0 или более поздней. Проверьте версию с Get-InstalledModule -Name Azпомощью . Сведения об установке или обновлении см. в статье "Установка Azure PowerShell".
Если вы используете Интерфейс командной строки разработчика Azure, в этом руководстве требуется, чтобы вы работали с интерфейсом командной строки разработчика Azure версии 1.5.1 или более поздней. Проверьте версию с azd versionпомощью . Сведения об установке или обновлении см. в разделе "Установка интерфейса командной строки разработчика Azure".

Создание кластера Kubernetes

Кластеры AKS могут использовать управление доступом на основе ролей Kubernetes (Kubernetes RBAC), что позволяет определять доступ к ресурсам на основе ролей, назначенных пользователям. Если пользователю назначено несколько ролей, объединяются разрешения. Разрешения могут быть ограничены одним пространством имен или всем кластером.

Дополнительные сведения об AKS и Kubernetes RBAC см. в статье Управление доступом к ресурсам кластера с помощью RBAC Kubernetes и удостоверений Microsoft Entra в AKS.

Для этого руководства требуется Azure CLI версии 2.0.53 или более поздней. Проверьте версию с az --versionпомощью . Чтобы выполнить установку или обновление, см. сведения в статье Установка Azure CLI.

Установка интерфейса командной строки Kubernetes

Вы используете интерфейс командной строки Kubernetes для kubectlподключения к кластеру Kubernetes. Если вы используете Azure Cloud Shell, kubectl уже установлен. Если вы выполняете команды локально, для установки kubectlможно использовать Azure CLI или Azure PowerShell.

Установите kubectl локально с помощью az aks install-cli команды.
```
az aks install-cli
```

azd среды в пространстве кода автоматически загружают все зависимости, найденные в ./devcontainer/devcontainer.json. Сюда входят интерфейс командной строки Kubernetes, а также любые образы Реестр контейнеров Azure (ACR).

Чтобы установить kubectl локально, используйте az aks install-cli команду.
```
az aks install-cli
```

Создание кластера AKS

Кластеры AKS могут использовать управление доступом на основе ролей Kubernetes (Kubernetes RBAC), что позволяет определять доступ к ресурсам на основе ролей, назначенных пользователям. Разрешения объединяются при назначении пользователям нескольких ролей. Разрешения могут быть ограничены одним пространством имен или всем кластером. Дополнительные сведения см. в разделе "Управление доступом к ресурсам кластера" с помощью RBAC Kubernetes и идентификатора Microsoft Entra в AKS.

Сведения об ограничениях ресурсов AKS и доступности регионов см. в разделе "Квоты", ограничения размера виртуальной машины и доступность регионов в AKS.

Примечание.

Чтобы обеспечить надежную работу кластера, необходимо запустить не менее двух узлов.

Чтобы разрешить кластеру AKS взаимодействовать с другими ресурсами Azure, платформа Azure автоматически создает удостоверение кластера. В этом примере удостоверение кластера предоставляется право извлекать изображения из экземпляра ACR, созданного в предыдущем руководстве. Чтобы выполнить команду успешно, необходимо иметь роль владельца или администратора учетной записи Azure в подписке Azure.

Создайте кластер AKS с помощью az aks create команды. В следующем примере в группе ресурсов myResourceGroup создается кластер с именем myAKSCluster. Эта группа ресурсов была создана в предыдущем руководстве в регионе eastus. Мы будем продолжать использовать переменную среды, $ACRNAMEкоторую мы задали в предыдущем руководстве. Если у вас нет этого набора переменных среды, задайте для него то же значение, которое вы использовали ранее.
```
az aks create \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --node-count 2 \
    --generate-ssh-keys \
    --attach-acr $ACRNAME
```
Примечание.

Если вы уже создали ключи SSH, может возникнуть ошибка, аналогичная linuxProfile.ssh.publicKeys.keyData is invalid. Чтобы продолжить, повторите команду без --generate-ssh-keys параметра.

Чтобы роль Владелец или Администратор учетной записи Azure не требовалась, вы можете также вручную настроить субъект-службу для извлечения образов из ACR. Дополнительные сведения см. в статьях Аутентификация в реестре контейнеров Azure с помощью субъектов-служб и Проверка подлинности в Kubernetes с использованием секрета для извлечения. В качестве альтернативы вместо субъекта-службы можно использовать управляемое удостоверение.

Создайте кластер AKS с помощью командлета New-AzAksCluster . В следующем примере в группе ресурсов myResourceGroup создается кластер с именем myAKSCluster. Эта группа ресурсов была создана в предыдущем руководстве в регионе eastus.
```
New-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster -NodeCount 2 -GenerateSshKey -AcrNameToAttach $ACRNAME
```
Примечание.

Если вы уже создали ключи SSH, может возникнуть ошибка, аналогичная linuxProfile.ssh.publicKeys.keyData is invalid. Чтобы продолжить, повторите команду без -GenerateSshKey параметра.

Подключение к кластеру с помощью kubectl

Настройте kubectl подключение к кластеру az aks get-credentials Kubernetes с помощью команды. В следующем примере возвращаются учетные данные для кластера AKS с именем myAKSCluster в myResourceGroup.
```
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
```
Проверьте подключение к кластеру kubectl get nodes с помощью команды, которая возвращает список узлов кластера.
```
kubectl get nodes
```
В следующем примере выходных данных показан список узлов кластера.
```
NAME                                STATUS   ROLES   AGE   VERSION
aks-nodepool1-19366578-vmss000000   Ready    agent   47h   v1.28.9
aks-nodepool1-19366578-vmss000001   Ready    agent   47h   v1.28.9
```

Настройте kubectl подключение к кластеру Kubernetes с помощью командлета Import-AzAksCredential . В следующем примере возвращаются учетные данные для кластера AKS с именем myAKSCluster в myResourceGroup.
```
Import-AzAksCredential -ResourceGroupName myResourceGroup -Name myAKSCluster
```
Проверьте подключение к кластеру kubectl get nodes с помощью команды, которая возвращает список узлов кластера.
```
kubectl get nodes
```
В следующем примере выходных данных показан список узлов кластера.
```
NAME                                STATUS   ROLES   AGE   VERSION
aks-nodepool1-19366578-vmss000000   Ready    agent   47h   v1.28.9
aks-nodepool1-19366578-vmss000001   Ready    agent   47h   v1.28.9
```

Настройте проверку подлинности в кластере azd auth login с помощью команды.
```
azd auth login 
```
Следуйте указаниям для метода проверки подлинности.
Проверьте подключение к кластеру kubectl get nodes с помощью команды.
```
kubectl get nodes
```
В следующем примере выходных данных показан список узлов кластера
```
NAME                                STATUS   ROLES   AGE   VERSION
aks-nodepool1-19366578-vmss000000   Ready    agent   47h   v1.28.9
aks-nodepool1-19366578-vmss000001   Ready    agent   47h   v1.28.9
```

azd auth обходной путь

Для этого обходного решения требуется установить Azure CLI .

Откройте окно терминала и войдите с помощью Azure CLI с помощью az login команды с заданным параметром --scope https://graph.microsoft.com/.default.
```
az login --scope https://graph.microsoft.com/.default
```
Чтобы создать маркер доступа к браузеру, необходимо перенаправить на страницу проверки подлинности на новой вкладке, как показано в следующем примере:
```
https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize?clientid=<your_client_id>.
```
Скопируйте URL-адрес localhost веб-страницы, полученной после попытки входа.azd auth login

В новом окне терминала используйте следующий curl запрос для входа. Замените заполнитель URL-адресом <localhost> localhost, скопированным на предыдущем шаге.

curl <localhost>

Успешный вход выводит HTML-веб-страницу, как показано в следующем примере:

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8" />
    <meta http-equiv="refresh" content="60;url=https://docs.microsoft.com/cli/azure/">
    <title>Login successfully</title>
    <style>
        body {
            font-family: 'Segoe UI', Tahoma, Geneva, Verdana, sans-serif;
        }

        code {
            font-family: Consolas, 'Liberation Mono', Menlo, Courier, monospace;
            display: inline-block;
            background-color: rgb(242, 242, 242);
            padding: 12px 16px;
            margin: 8px 0px;
        }
    </style>
</head>
<body>
    <h3>You have logged into Microsoft Azure!</h3>
    <p>You can close this window, or we will redirect you to the <a href="https://docs.microsoft.com/cli/azure/">Azure CLI documentation</a> in 1 minute.</p>
    <h3>Announcements</h3>
    <p>[Windows only] Azure CLI is collecting feedback on using the <a href="https://learn.microsoft.com/windows/uwp/security/web-account-manager">Web Account Manager</a> (WAM) broker for the login experience.</p>
    <p>You may opt-in to use WAM by running the following commands:</p>
    <code>
        az config set core.allow_broker=true<br>
        az account clear<br>
        az login
    </code>
</body>
</html>

Закройте текущий терминал и откройте исходный терминал. Вы увидите список JSON подписок.
id Скопируйте поле подписки, которую вы хотите использовать.
Задайте подписку az account set с помощью команды.
```
az account set --subscription <subscription_id>
```

Следующие шаги

В этом руководстве вы развернули кластер Kubernetes в AKS и настроили kubectl подключение к кластеру. Вы научились выполнять следующие задачи:

Разверните кластер AKS, который может пройти проверку подлинности в ACR.
Установите интерфейс командной строки Kubernetes. kubectl
Настройте kubectl подключение к кластеру AKS.

В следующем руководстве вы узнаете, как развернуть приложение в кластере.

Развертывание приложения в AKS

Поделиться через