Использование службы Подключение or в Служба Azure Kubernetes (AKS)
Служба Azure Kubernetes (AKS) — это одна из служб вычислений, поддерживаемых службой Подключение or. Эта статья поможет вам понять следующее:
- Какие операции выполняются в кластере при создании подключения к службе.
- Как использовать службу ресурсов kubernetes Подключение or.
- Устранение неполадок и просмотр журналов службы Подключение or в кластере AKS.
Необходимые компоненты
- В этом руководстве предполагается, что вы уже знаете основные понятия службы Подключение or.
Что делает служба операций Подключение or в кластере
В зависимости от различных целевых служб и типов проверки подлинности, выбранных при создании подключения к службе, служба Подключение or выполняет различные операции в кластере AKS. Ниже перечислены возможные операции, сделанные службой Подключение or.
Добавление расширения kubernetes службы Подключение or
Расширение Kubernetes sc-extension
добавляется в кластер при первом создании подключения к службе. Далее расширение помогает создавать ресурсы Kubernetes в кластере пользователя, когда запрос на подключение службы поступает в службу Подключение or. Расширение можно найти в кластере AKS в портал Azure в меню "Расширения + приложения".
Расширение также хранит метаданные подключений кластера. Удаление расширения делает все подключения в кластере недоступными. Оператор расширения размещается в пространстве sc-system
имен кластера.
Создание ресурсов kubernetes
Служба Подключение or создает некоторые ресурсы kubernetes для пространства имен, указанного пользователем при создании подключения к службе. Ресурсы Kubernetes хранят сведения о подключении, необходимые определениям рабочей нагрузки пользователя или коду приложения для связи с целевыми службами. В зависимости от различных типов проверки подлинности создаются разные ресурсы Kubernetes. Connection String
Для типов проверки Service Principal
подлинности создается секрет Kubernetes. Workload Identity
Для типа проверки подлинности учетная запись службы Kubernetes также создается в дополнение к секрету Kubernetes.
Ресурсы Kubernetes, созданные службой Подключение or для каждого подключения к службе, можно найти в портал Azure в ресурсе kubernetes в меню Подключение or службы.
Удаление подключения к службе не удаляет связанный ресурс Kubernetes. При необходимости удалите ресурс вручную, используя например команду kubectl delete.
Включение надстройки azureKeyvaultSecretsProvider
Если целевая служба — Azure Key Vault, а драйвер CSI хранилища секретов включен при создании подключения к службе, служба Подключение or включает azureKeyvaultSecretsProvider
надстройку для кластера.
Следуйте Подключение в Azure Key Vault с помощью руководства подрайверу CSI, чтобы настроить подключение к Azure Key Vault с помощью драйвера CSI для хранилища секретов.
Включение удостоверения рабочей нагрузки и издателя OpenID Подключение (OIDC)
Если тип проверки подлинности используется Workload Identity
при создании подключения к службе, служба Подключение or включает удостоверение рабочей нагрузки и издателя OIDC для кластера.
Если используется Workload Identity
тип проверки подлинности, для создания учетных данных федеративного удостоверения необходимо назначаемое пользователем управляемое удостоверение. Дополнительные сведения о том, что такое удостоверения рабочей нагрузки, или следуйте инструкциям из руководства, чтобы настроить подключение к служба хранилища Azure с помощью удостоверения рабочей нагрузки.
Использование ресурсов Kubernetes службы Подключение or
Различные ресурсы Kubernetes создаются, когда тип целевой службы и тип проверки подлинности отличаются. В следующих разделах показано, как использовать ресурсы Kubernetes службы Подключение or в определении рабочих нагрузок кластера и кодах приложений.
Секрет Kubernetes
Секрет kubernetes создается при использовании типа Connection String
проверки подлинности или Service Principal
. Определение рабочей нагрузки кластера может ссылаться непосредственно на секрет. Ниже приведен пример фрагмента кода.
apiVersion: batch/v1
kind: Job
metadata:
namespace: default
name: sc-sample-job
spec:
template:
spec:
containers:
- name: raw-linux
image: alpine
command: ['printenv']
envFrom:
- secretRef:
name: <SecretCreatedByServiceConnector>
restartPolicy: OnFailure
Затем коды приложений могут использовать строка подключения в секрете из переменной среды. Вы можете проверка пример кода, чтобы узнать больше о именах переменных среды и о том, как использовать их в кодах приложений для проверки подлинности в разных целевых службах.
Учетная запись службы Kubernetes
При использовании типа Workload Identity
проверки подлинности создаются как учетная запись службы Kubernetes, так и секрет. Определение рабочей нагрузки кластера может ссылаться на учетную запись службы и секрет для проверки подлинности с помощью удостоверения рабочей нагрузки. В следующем фрагменте кода приведен пример.
apiVersion: batch/v1
kind: Job
metadata:
namespace: default
name: sc-sample-job
labels:
azure.workload.identity/use: "true"
spec:
template:
spec:
serviceAccountName: <ServiceAccountCreatedByServiceConnector>
containers:
- name: raw-linux
image: alpine
command: ['printenv']
envFrom:
- secretRef:
name: <SecretCreatedByServiceConnector>
restartPolicy: OnFailure
Вы можете проверка учебнике, чтобы узнать, как подключиться к служба хранилища Azure с помощью удостоверения рабочей нагрузки.
Устранение неполадок и просмотр журналов
Если ошибка возникает и не может быть устранена путем повторных попыток при создании подключения к службе, следующие методы могут помочь собрать дополнительные сведения об устранении неполадок.
Проверка расширения kubernetes службы Подключение or
Расширение kubernetes службы Подключение or построено на основе расширений кластера Kubernetes с поддержкой Azure Arc. Используйте следующие команды, чтобы изучить наличие ошибок во время установки или обновления расширения.
k8s-extension
Установите расширение Azure CLI.
az extension add --name k8s-extension
- Получение состояния расширения Подключение службы.
statuses
Проверьте свойство в выходных данных команды, чтобы узнать, есть ли ошибки.
az k8s-extension show \
--resource-group MyClusterResourceGroup \
--cluster-name MyCluster \
--cluster-type managedClusters \
--name sc-extension
Проверка журналов кластера Kubernetes
Если во время установки расширения возникает ошибка, а сообщение об ошибке в statuses
свойстве не предоставляет достаточно сведений о том, что произошло, вы можете дополнительно проверка журналы Kubernetes с помощью следующих действий.
Подключение в кластер AKS.
az aks get-credentials \ --resource-group MyClusterResourceGroup \ --name MyCluster
Расширение службы Подключение or устанавливается в пространстве
sc-system
имен через диаграмму helm, проверка пространство имен и выпуск helm, выполнив следующие команды.- Проверьте, существует ли пространство имен.
kubectl get ns
- Проверьте состояние выпуска helm.
helm list -n sc-system
Во время установки или обновления расширения задание kubernetes, которое вызывается
sc-job
, создает ресурсы Kubernetes для подключения к службе. Сбой выполнения задания обычно вызывает сбой расширения. Проверьте состояние задания, выполнив следующие команды. Еслиsc-job
он не существует вsc-system
пространстве имен, он должен быть выполнен успешно. Это задание предназначено для автоматического удаления после успешного выполнения.- Проверьте наличие задания.
kubectl get job -n sc-system
- Получите состояние задания.
kubectl describe job/sc-job -n sc-system
- Просмотр журналов заданий.
kubectl logs job/sc-job -n sc-system
Следующие шаги
Узнайте, как интегрировать различные целевые службы и ознакомиться с параметрами конфигурации и методами проверки подлинности.