Использование службы Подключение or в Служба Azure Kubernetes (AKS)

Служба Azure Kubernetes (AKS) — это одна из служб вычислений, поддерживаемых службой Подключение or. Эта статья поможет вам понять следующее:

• Какие операции выполняются в кластере при создании подключения к службе.
• Как использовать службу ресурсов kubernetes Подключение or.
• Устранение неполадок и просмотр журналов службы Подключение or в кластере AKS.

Необходимые компоненты

• В этом руководстве предполагается, что вы уже знаете основные понятия службы Подключение or.

Что делает служба операций Подключение or в кластере

В зависимости от различных целевых служб и типов проверки подлинности, выбранных при создании подключения к службе, служба Подключение or выполняет различные операции в кластере AKS. Ниже перечислены возможные операции, сделанные службой Подключение or.

Добавление расширения kubernetes службы Подключение or

Расширение Kubernetes sc-extension добавляется в кластер при первом создании подключения к службе. Далее расширение помогает создавать ресурсы Kubernetes в кластере пользователя, когда запрос на подключение службы поступает в службу Подключение or. Расширение можно найти в кластере AKS в портал Azure в меню "Расширения + приложения".

Расширение также хранит метаданные подключений кластера. Удаление расширения делает все подключения в кластере недоступными. Оператор расширения размещается в пространстве sc-systemимен кластера.

Создание ресурсов kubernetes

Служба Подключение or создает некоторые ресурсы kubernetes для пространства имен, указанного пользователем при создании подключения к службе. Ресурсы Kubernetes хранят сведения о подключении, необходимые определениям рабочей нагрузки пользователя или коду приложения для связи с целевыми службами. В зависимости от различных типов проверки подлинности создаются разные ресурсы Kubernetes. Connection String Для типов проверки Service Principal подлинности создается секрет Kubernetes. Workload Identity Для типа проверки подлинности учетная запись службы Kubernetes также создается в дополнение к секрету Kubernetes.

Ресурсы Kubernetes, созданные службой Подключение or для каждого подключения к службе, можно найти в портал Azure в ресурсе kubernetes в меню Подключение or службы.

Удаление подключения к службе не удаляет связанный ресурс Kubernetes. При необходимости удалите ресурс вручную, используя например команду kubectl delete.

Включение надстройки azureKeyvaultSecretsProvider

Если целевая служба — Azure Key Vault, а драйвер CSI хранилища секретов включен при создании подключения к службе, служба Подключение or включает azureKeyvaultSecretsProvider надстройку для кластера.

Следуйте Подключение в Azure Key Vault с помощью руководства подрайверу CSI, чтобы настроить подключение к Azure Key Vault с помощью драйвера CSI для хранилища секретов.

Включение удостоверения рабочей нагрузки и издателя OpenID Подключение (OIDC)

Если тип проверки подлинности используется Workload Identity при создании подключения к службе, служба Подключение or включает удостоверение рабочей нагрузки и издателя OIDC для кластера.

Если используется Workload Identityтип проверки подлинности, для создания учетных данных федеративного удостоверения необходимо назначаемое пользователем управляемое удостоверение. Дополнительные сведения о том, что такое удостоверения рабочей нагрузки, или следуйте инструкциям из руководства, чтобы настроить подключение к служба хранилища Azure с помощью удостоверения рабочей нагрузки.

Использование ресурсов Kubernetes службы Подключение or

Различные ресурсы Kubernetes создаются, когда тип целевой службы и тип проверки подлинности отличаются. В следующих разделах показано, как использовать ресурсы Kubernetes службы Подключение or в определении рабочих нагрузок кластера и кодах приложений.

Секрет Kubernetes

Секрет kubernetes создается при использовании типа Connection String проверки подлинности или Service Principal. Определение рабочей нагрузки кластера может ссылаться непосредственно на секрет. Ниже приведен пример фрагмента кода.

apiVersion: batch/v1
kind: Job
metadata:
  namespace: default
  name: sc-sample-job
spec:
  template:
    spec:
      containers:
      - name: raw-linux
        image: alpine
        command: ['printenv']
        envFrom:
          - secretRef:
              name: <SecretCreatedByServiceConnector>
      restartPolicy: OnFailure

Затем коды приложений могут использовать строка подключения в секрете из переменной среды. Вы можете проверка пример кода, чтобы узнать больше о именах переменных среды и о том, как использовать их в кодах приложений для проверки подлинности в разных целевых службах.

Учетная запись службы Kubernetes

При использовании типа Workload Identityпроверки подлинности создаются как учетная запись службы Kubernetes, так и секрет. Определение рабочей нагрузки кластера может ссылаться на учетную запись службы и секрет для проверки подлинности с помощью удостоверения рабочей нагрузки. В следующем фрагменте кода приведен пример.

apiVersion: batch/v1
kind: Job
metadata:
  namespace: default
  name: sc-sample-job
  labels:
    azure.workload.identity/use: "true"
spec:
  template:
    spec:
      serviceAccountName: <ServiceAccountCreatedByServiceConnector>
      containers:
      - name: raw-linux
        image: alpine
        command: ['printenv']
        envFrom:
          - secretRef:
              name: <SecretCreatedByServiceConnector>
      restartPolicy: OnFailure

Вы можете проверка учебнике, чтобы узнать, как подключиться к служба хранилища Azure с помощью удостоверения рабочей нагрузки.

Устранение неполадок и просмотр журналов

Если ошибка возникает и не может быть устранена путем повторных попыток при создании подключения к службе, следующие методы могут помочь собрать дополнительные сведения об устранении неполадок.

Проверка расширения kubernetes службы Подключение or

Расширение kubernetes службы Подключение or построено на основе расширений кластера Kubernetes с поддержкой Azure Arc. Используйте следующие команды, чтобы изучить наличие ошибок во время установки или обновления расширения.

1. k8s-extension Установите расширение Azure CLI.

az extension add --name k8s-extension

1. Получение состояния расширения Подключение службы. statuses Проверьте свойство в выходных данных команды, чтобы узнать, есть ли ошибки.

az k8s-extension show \
    --resource-group MyClusterResourceGroup \
    --cluster-name MyCluster \
    --cluster-type managedClusters \
    --name sc-extension

Проверка журналов кластера Kubernetes

Если во время установки расширения возникает ошибка, а сообщение об ошибке в statuses свойстве не предоставляет достаточно сведений о том, что произошло, вы можете дополнительно проверка журналы Kubernetes с помощью следующих действий.

1. Подключение в кластер AKS.

   az aks get-credentials \
       --resource-group MyClusterResourceGroup \
       --name MyCluster
   

2. Расширение службы Подключение or устанавливается в пространстве sc-system имен через диаграмму helm, проверка пространство имен и выпуск helm, выполнив следующие команды.

   • Проверьте, существует ли пространство имен.

   kubectl get ns
   

   • Проверьте состояние выпуска helm.

   helm list -n sc-system
   

3. Во время установки или обновления расширения задание kubernetes, которое вызывается sc-job , создает ресурсы Kubernetes для подключения к службе. Сбой выполнения задания обычно вызывает сбой расширения. Проверьте состояние задания, выполнив следующие команды. Если sc-job он не существует в sc-system пространстве имен, он должен быть выполнен успешно. Это задание предназначено для автоматического удаления после успешного выполнения.

   • Проверьте наличие задания.

   kubectl get job -n sc-system
   

   • Получите состояние задания.

   kubectl describe job/sc-job -n sc-system
   

   • Просмотр журналов заданий.

   kubectl logs job/sc-job -n sc-system
   

Следующие шаги

Узнайте, как интегрировать различные целевые службы и ознакомиться с параметрами конфигурации и методами проверки подлинности.

Узнайте, как интегрировать большой двоичный объект хранилища