Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för ✔️ Fleet Manager med hubbkluster
Den här artikeln innehåller en konceptuell översikt över Azure Kubernetes Fleet Manager's Managed Fleet Namespaces som tillhandahåller en centralt hanterad flerklusterlösning för flera innehavare.
Viktigt!
Förhandsversionsfunktionerna i Azure Kubernetes Fleet Manager är tillgängliga via självbetjäning och opt-in. Förhandsversioner tillhandahålls "i befintligt skick" och "i mån av tillgång," och de är undantagna från servicenivåavtal och begränsad garanti. Förhandsversioner av Azure Kubernetes Fleet Manager omfattas delvis av kundsupport på bästa sätt. Därför är dessa funktioner inte avsedda för produktionsanvändning.
Vad är managed fleet namespaces?
När de distribueras i målmedlemskluster tillåter managed fleet namespaces plattformsadministratörer att tillämpa resurskvoter, nätverksprinciper, etiketter, anteckningar och kontrollera åtkomsten till namnområdesresurser i varje kluster. Namnområden för hanterad flotta utökar funktionen för Hanterat Kubernetes-namnområde, vilket ger ett sätt att logiskt isolera arbetsbelastningar i ett enda AKS-kluster.
Namnområden för förvaltad flotta använder en genererad, skrivskyddad, Fleet Manager-klusterresursplacering (CRP) för att distribuera det centralt definierade namnområdet till valda medlemskluster.
När du skapar ett flotthanterat namnområde kan du också styra:
- Implementeringsprincip: Definierar hur konflikter löses när ett namnområde för hanterad flotta placeras i ett medlemskluster där ett ohanterat namnområde eller hanterat Kubernetes-namnområde finns med samma namn.
- Borttagningsprincip: Definierar om Kubernetes-resurser tas bort vid borttagning av Azure-resursen för Hanterad flottas namnområde.
Inställning av resurskvoter
Plattformsadministratörer kan använda resurskvoter för att begränsa processor- och minnesförbrukningen på namnområdesnivå. Om den utelämnas tillämpas ingen resurskvot på namnområdet.
- CPU-begäranden och -gränser: Ange de lägsta och högsta processorresurser som arbetsbelastningar i namnområdet kan begära eller använda.
- Minnesbegäranden och -gränser: Ange de minsta och högsta minnesresurser som arbetsbelastningar i namnområdet kan begära eller använda.
Anmärkning
De kvoter som anges för ett namnområde tillämpas på varje enskilt medlemskluster oberoende av varandra och delas inte mellan alla kluster som kör namnområdet.
Ange nätverksprinciper
Nätverksprinciper styr tillåten trafik för poddar i ett namnområde. Du kan oberoende välja en av tre inbyggda nätverksprinciper för inkommande och utgående trafik. Om den utelämnas tillämpas ingen nätverksprincip på namnområdet.
Nätverksprinciper tillämpas på varje kluster individuellt och styr inte nätverkstrafik mellan kluster för namnområdet. Varje medlemskluster tillämpar sin egen nätverksprincip oberoende av varandra i sin lokala namnområdesinstans. Nätverksprinciper omfattar:
- Tillåt alla: Tillåt all nätverkstrafik, inklusive trafik mellan poddar och externa slutpunkter.
- Tillåt samma namnområde: Tillåt all nätverkstrafik mellan poddar inom samma namnområde.
- Neka alla: Neka all nätverkstrafik, inklusive trafik mellan poddar och externa slutpunkter.
Anmärkning
Managed Fleet Namespaces anger standardnätverksprinciper, men namnområdesanvändare med tillräcklig behörighet kan lägga till extra principer som kopplar av den övergripande nätverksprincipen för namnområdet. Det här beteendet matchar standardbeteendet för kubernetes-nätverksprinciper.
Etiketter och anteckningar
Du kan använda både Kubernetes-etiketter och annotationer i namnområdet för Hanterad Flotta. Som standard har varje hanterat namnområde en inbyggd etikett som anger att den hanteras av ARM.
Implementeringsprincip
När ett namnområde för hanterad flotta skapas avgör implementeringsprincipen hur befintliga ohanterade eller hanterade Kubernetes-namnområden hanteras om de redan finns i målklustret. Följande alternativ är tillgängliga:
- Aldrig: Det går inte att skapa ett hanterat namnområde om det redan finns ett namnområde med samma namn i klustret.
- IfIdentical: Det går inte att skapa ett hanterat namnområde om det redan finns ett namnområde med samma namn i klustret, såvida inte namnrymderna är identiska. Om namnrymderna är identiska tar Fleet Manager över det befintliga namnområdet som ska hanteras.
- Alltid: Det hanterade namnområdet tar alltid över det befintliga namnområdet, även om vissa resurser i namnområdet skrivs över.
Under implementeringen kan ett namnområde för hanterad flotta ta över fält i ett befintligt namnområde i ett medlemskluster, men det tar inte bort resurser från namnområdet.
Ta bort princip
Borttagningsprincipen styr hur Kubernetes-namnområdet hanteras när Azure-resursen managed fleet namespace tas bort. Det finns två inbyggda alternativ:
-
Behåll: Lämnar Kubernetes-namnområdet intakt i medlemskluster, men tar
ManagedByARMbort etiketten. - Ta bort: Tar bort Kubernetes-namnområdet och alla resurser i det från medlemskluster.
Varning
En borttagningsprincip för Ta bort tar helt bort Kubernetes-namnområdesresursen och resurserna i den från målmedlemsklustren, även om den tidigare fanns och antogs av namnområdet för den hanterade flottan.
Inbyggda roller för managed fleet namespace
Namnområden för hanterad flotta använder befintliga Azure Rollbaserad åtkomstkontroll (RBAC) Azure Resource Manager-roller för att hantera och komma åt hanterade namnområden. De befintliga Kubernetes-dataplansrollerna tillämpas för att interagera med den hanterade fleet-namnrymdsinstansen som skapats i Fleet Manager-hubbklustret.
Viktigt!
När du tilldelar RBAC-roller i ett namnområdesomfång för hanterad flotta beviljas åtkomst till alla ohanterade Kubernetes-namnområden i medlemskluster med samma namn.
Om du vill styra åtkomsten till ett namnområde för hanterad flotta i medlemskluster använder du följande inbyggda roller, som kan användas i namnområdesomfånget:
| Role | Description |
|---|---|
| Azure Kubernetes Fleet Manager RBAC-läsare för medlemskluster | • Skrivskyddad åtkomst till de flesta objekt i namnområdet i medlemsklustret. • Det går inte att visa roller eller rollbindningar. • Det går inte att visa hemligheter (förhindrar behörighetseskalering via ServiceAccount autentiseringsuppgifter). |
| Azure Kubernetes Fleet Manager RBAC Writer för medlemskluster | • Läs- och skrivåtkomst till de flesta Kubernetes-resurser i namnområdet. • Det går inte att visa eller ändra roller eller rollbindningar. • Kan läsa hemligheter (och kan anta vilken som helst ServiceAccount i namnområdet). |
| Azure Kubernetes Fleet Manager RBAC-administratör för medlemskluster | • Läs- och skrivåtkomst till Kubernetes-resurser i namnområdet i medlemsklustret. |
| Azure Kubernetes Fleet Manager RBAC-klusteradministratör för medlemskluster | • Fullständig läs-/skrivåtkomst till alla Kubernetes-resurser i medlemsklustret. |
Till exempel skulle en utvecklare team-A som använder namnområdet för den team-A hanterade flottan behöva läsa och skriva Kubernetes-resurser i namnområdet i Fleet Manager-hubbklustret. Utvecklaren skulle också behöva läsa Kubernetes-objekt i team-A namnområdet på de medlemskluster där det finns. Därför skulle plattformsadministratören tilldela dem Azure Kubernetes Fleet Manager RBAC Writer på flottans nivå och Azure Kubernetes Fleet Manager RBAC Reader för medlemskluster på nivån för hanterade flottans namnutrymme för dessa respektive krav.
Under förhandsversionen stöds inte åtkomstkontroller för Anpassade Kubernetes-resurser (CR) för dessa roller.
Nästa steg
Samarbeta med oss på GitHub
Källan för det här innehållet finns på GitHub, där du också kan skapa och granska problem och pull-begäranden. Mer information finns i vår deltagarguide.
Azure Kubernetes Service