Händelser
17 mars 21 - 21 mars 10
Gå med i mötesserien för att skapa skalbara AI-lösningar baserat på verkliga användningsfall med andra utvecklare och experter.
Registrera dig nuAutentisera med Azure Container Registry (ACR) från Azure Kubernetes Service (AKS)
När du använder Azure Container Registry (ACR) med Azure Kubernetes Service (AKS) måste du upprätta en autentiseringsmekanism. Du kan konfigurera de behörigheter som krävs mellan ACR och AKS med hjälp av Azure CLI, Azure PowerShell eller Azure Portal. Den här artikeln innehåller exempel på hur du konfigurerar autentisering mellan dessa Azure-tjänster med hjälp av Azure CLI eller Azure PowerShell.
AKS till ACR-integreringen tilldelar AcrPull-rollen till den hanterade Microsoft Entra-ID-identiteten som är associerad med agentpoolen i ditt AKS-kluster. Mer information om AKS-hanterade identiteter finns i Sammanfattning av hanterade identiteter.
Viktigt
Det finns ett svarstidsproblem med Microsoft Entra-grupper när du kopplar ACR. Om AcrPull-rollen beviljas till en Microsoft Entra-grupp och kubelet-identiteten läggs till i gruppen för att slutföra RBAC-konfigurationen kan det uppstå en fördröjning innan RBAC-gruppen börjar gälla. Om du kör automatisering som kräver att RBAC-konfigurationen är klar rekommenderar vi att du använder Bring your own kubelet identity som en lösning. Du kan skapa en användartilldelad identitet i förväg, lägga till den i Microsoft Entra-gruppen och sedan använda identiteten som kubelet-identitet för att skapa ett AKS-kluster. Detta säkerställer att identiteten läggs till i Microsoft Entra-gruppen innan en token genereras av kubelet, vilket undviker svarstidsproblemet.
Anteckning
Den här artikeln beskriver automatisk autentisering mellan AKS och ACR. Om du behöver hämta en avbildning från ett privat externt register använder du en avbildningshämtningshemlighet.
- Du behöver rollen Ägare, Azure-kontoadministratör eller Azure-medadministratör i din Azure-prenumeration.
- För att undvika att behöva någon av dessa roller kan du i stället använda en befintlig hanterad identitet för att autentisera ACR från AKS. Mer information finns i Använda en hanterad Azure-identitet för att autentisera till en ACR.
- Om du använder Azure CLI kräver den här artikeln att du kör Azure CLI version 2.7.0 eller senare. Kör
az --versionför att hitta versionen. Om du behöver installera eller uppgradera kan du läsa Installera Azure CLI. - Om du använder Azure PowerShell kräver den här artikeln att du kör Azure PowerShell version 5.9.0 eller senare. Kör
Get-InstalledModule -Name Azför att hitta versionen. Om du behöver installera eller uppgradera kan du läsa Install Azure PowerShell (Installera Azure PowerShell). - Exempel och syntax för att använda Terraform för att konfigurera ACR finns i Terraform-referensen.
Om du inte redan har en ACR skapar du en med kommandot
az acr create. I följande exempel anges variabelnMYACRtill namnet på ACR, mycontainerregistry, och variabeln används för att skapa registret. Ditt ACR-namn måste vara globalt unikt och endast använda gemener.Azure CLIMYACR=mycontainerregistry az acr create --name $MYACR --resource-group myContainerRegistryResourceGroup --sku basic
Skapa ett nytt AKS-kluster och integrera med en befintlig ACR med kommandot
az aks createmed parametern--attach-acr. Med det här kommandot kan du auktorisera en befintlig ACR i din prenumeration och konfigurerar lämplig AcrPull-roll för den hanterade identiteten.Azure CLIMYACR=mycontainerregistry az aks create --name myAKSCluster --resource-group myResourceGroup --generate-ssh-keys --attach-acr $MYACRDet här kommandot kan ta flera minuter att slutföra.
Anteckning
Om du använder en ACR som finns i en annan prenumeration än ditt AKS-kluster eller föredrar att använda ACR-resurs-ID :t i stället för ACR-namnet kan du göra det med hjälp av följande syntax:
Azure CLIaz aks create -n myAKSCluster -g myResourceGroup --generate-ssh-keys --attach-acr /subscriptions/<subscription-id>/resourceGroups/myContainerRegistryResourceGroup/providers/Microsoft.ContainerRegistry/registries/myContainerRegistry
Integrera en befintlig ACR med ett befintligt AKS-kluster med kommandot
az aks updatemed parametern--attach-acroch ett giltigt värde för acr-name eller acr-resource-id.Azure CLI# Attach using acr-name az aks update --name myAKSCluster --resource-group myResourceGroup --attach-acr <acr-name> # Attach using acr-resource-id az aks update --name myAKSCluster --resource-group myResourceGroup --attach-acr <acr-resource-id>Anteckning
Kommandot
az aks update --attach-acranvänder behörigheterna för användaren som kör kommandot för att skapa ACR-rolltilldelningen. Den här rollen tilldelas till den kubelet-hanterade identiteten. Mer information om AKS-hanterade identiteter finns i Sammanfattning av hanterade identiteter.
Ta bort integreringen mellan en ACR och ett AKS-kluster med kommandot
az aks updatemed parametern--detach-acroch ett giltigt värde för acr-name eller acr-resource-id.Azure CLI# Detach using acr-name az aks update --name myAKSCluster --resource-group myResourceGroup --detach-acr <acr-name> # Detach using acr-resource-id az aks update --name myAKSCluster --resource-group myResourceGroup --detach-acr <acr-resource-id>
Importera en avbildning från Docker Hub till din ACR med hjälp av
az acr importkommandot .Azure CLIaz acr import --name <acr-name> --source docker.io/library/nginx:latest --image nginx:v1
Kontrollera att du har rätt AKS-autentiseringsuppgifter med kommandot
az aks get-credentials.Azure CLIaz aks get-credentials --resource-group myResourceGroup --name myAKSClusterSkapa en fil med namnet acr-nginx.yaml med hjälp av följande YAML-exempel och ersätt acr-name med namnet på din ACR.
YAMLapiVersion: apps/v1 kind: Deployment metadata: name: nginx0-deployment labels: app: nginx0-deployment spec: replicas: 2 selector: matchLabels: app: nginx0 template: metadata: labels: app: nginx0 spec: containers: - name: nginx image: <acr-name>.azurecr.io/nginx:v1 ports: - containerPort: 80Kör distributionen i AKS-klustret med hjälp av
kubectl applykommandot .Consolekubectl apply -f acr-nginx.yamlÖvervaka distributionen med kommandot
kubectl get pods.Consolekubectl get podsUtdata bör visa två poddar som körs, enligt följande exempelutdata:
OutputNAME READY STATUS RESTARTS AGE nginx0-deployment-669dfc4d4b-x74kr 1/1 Running 0 20s nginx0-deployment-669dfc4d4b-xdpd6 1/1 Running 0 20s
- Verifiera att registret är tillgängligt från AKS-klustret med hjälp av
az aks check-acrkommandot . - Läs mer om ACR-övervakning.
- Läs mer om ACR-hälsa.
Samarbeta med oss på GitHub
Källan för det här innehållet finns på GitHub, där du även kan skapa och granska ärenden och pull-begäranden. Se vår deltagarguide för mer information.
Feedback om Azure Kubernetes Service
Azure Kubernetes Service är ett öppen källkod projekt. Välj en länk för att ge feedback:
Ytterligare resurser
Utbildning
Modul
Konfigurera Azure Container Registry för distributioner av containerappar - Training
Lär dig hur du skapar och konfigurerar ett Azure Container Registry, processen med att skicka containeravbildningar till Azure Container Registry och utforska olika autentiseringsmetoder och säkerhetsfunktioner för Azure Container Registry.
Certifiering
Microsoft-certifierad: Azure-administratör associerad - Certifications
Visa viktiga kunskaper för att konfigurera, hantera, skydda och administrera viktiga professionella funktioner i Microsoft Azure.
Dokumentation
-
Det går inte att hämta avbildningar från Azure Container Registry till Kubernetes - Azure
Den här artikeln hjälper dig att felsöka de vanligaste felen som kan uppstå när du hämtar avbildningar från ett containerregister till ett AKS-kluster.
-
Lär dig hur du ansluter till Azure Container Registry (ACR) med hjälp av AKS-tillägget (Azure Kubernetes Service) för Visual Studio Code.
-
Kubernetes Pull Secret för ACR-autentisering - Azure Container Registry
Lär dig hur du tillhandahåller ett Kubernetes-kluster med åtkomst till avbildningar i azure-containerregistret genom att skapa en pull-hemlighet med hjälp av tjänstens huvudnamn