Azure Stack Hub 上的 Azure Kubernetes Service 概觀 (針對使用者)
Azure Kubernetes Service (AKS) 可讓您輕鬆地在 Azure 和 Azure Stack Hub 中部署 Kubernetes 叢集。 AKS 可降低管理 Kubernetes 叢集的複雜度和操作負荷。
作為受控的 Kubernetes 服務,Azure Stack Hub 會處理健康情況監視等重要工作,並輔助您進行維護。 Azure Stack 小組會管理用來維護叢集的映像。 叢集系統管理員只需視需要來套用更新。 這些服務不會產生額外費用。 AKS 是免費的:您只需支付在叢集內使用 VM (主機和代理程式節點) 的費用。 這會比 AKS 引擎更容易使用,因為其會移除部分需要 AKS 引擎的手動工作。
重要
目前處於預覽狀態的 Azure Stack Hub 上 Azure Kubernetes Service 即將停止,且不會變成 GA。 如需 Azure Stack Hub 上的 Kubernetes 解決方案,請參閱 AKS 引擎 。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
Azure Stack Hub 上的 AKS
您可以使用與 Azure 雲端相同的 Azure CIL、Azure Stack Hub 使用者入口網站、Azure Resource Manager 範本以及 REST API,以與雲端相同的方式管理 Azure Stack Hub 上的 AKS 叢集。 部署 AKS 叢集時,系統會為您部署及設定 Kubernetes 主機與所有節點。
如需 Kubernetes 概念的詳細資訊,請參閱 Kubernetes 文件。 如需全域 Azure 上 AKS 服務的完整文件,請參閱 Azure Kubernetes Service中的文件。
使用者角色和職責
Azure Stack Hub 是一個內部部署系統,客戶可在其資料中心內使用,以執行雲端原生工作負載。 這些系統支援兩種使用者類型:雲端操作員和使用者。
下列工作屬於 Azure Stack Hub 運算子:
- 請確定 Azure Kubernetes Service 基礎映像適用於 Azure Stack Hub 執行個體 (包括從 Azure 下載的映像)。
- 請確定 Azure Kubernetes Service 適用於客戶方案和使用者訂用帳戶,就像 Azure Stack Hub 中的任何其他服務一樣。
- 監視 Azure Kubernetes Service,並對任何警示和相關補救採取行動。
- 如需操作員工作的詳細資訊,請參閱在 Azure Stack Hub 上安裝並提供 Azure Kubernetes Service
下列工作會對應使用者,意即 租用戶 AKS 叢集系統管理員:
- 監視 Kubernetes 叢集代理程式的健康情況,並對任何事件和相關補救採取行動。 即使在租用戶的訂用帳戶內建立主機,服務仍會監視其狀態,並視需要執行補救步驟。 不過,可能會有一些支援案例需要租用戶的叢集系統管理員,才能讓叢集恢復健全狀態。
- 使用 Azure Kubernetes Service 設備來管理叢集的生命週期,意即建立、升級和調整作業。
- 維護作業:部署應用程式、備份和還原、疑難排解、記錄收集和監視應用程式。
- 如需租用戶工作的詳細資訊,請參閱在 Azure Stack Hub 上搭配 CLI 使用 Azure Kubernetes Service
功能比較
下表提供 Azure Stack Hub 與全域 Azure 中 AKS 的功能比較概觀。
區域 | 功能 | Azure AKS | Azure Stack Hub AKS |
---|---|---|---|
存取安全性 | |||
Kubernetes RBAC | 是 | 是 | |
資訊安全中心整合 | 是 | Yes | |
Microsoft Entra 驗證/RBAC | 是 | 否 | |
Calico 網路原則 | 是 | No | |
監視 & 記錄 | |||
整合式 Azure 監視 (深入解析、記錄、計量、警示) | 是 | 否 | |
主要節點的監視和補救 | 是 | 是 | |
叢集計量 | 是 | 是 | |
Advisor 建議 | 是 | 否 | |
診斷設定 | 是 | 是 | |
Kubernetes 控制平面記錄 | 是 | 是 | |
活頁簿 | 是 | No | |
叢集 & 節點 | |||
自動調整節點 (自動調整程式) | 是 | 否 | |
調整導向節點 | 是 | 是 | |
自動調整 Pod | 是 | 是 | |
GPU 啟用 Pod | 是 | 否 | |
儲存磁碟區支援 | 是 | 是 | |
多節點集區管理 | 是 | No | |
Azure 容器實例整合 & 虛擬節點 | 是 | 否 | |
執行時間 SLA | 是 | 否 | |
隱藏的主要節點 | 是 | 否 | |
虛擬網路與輸入 | |||
預設 VNET | 是 | 是 | |
自訂 VNET | 是 | 是 | |
HTTP 輸入 | 是 | 否 | |
開發工具 | |||
Helm | 是 | 是 | |
Dev Studio | 是 | 否 | |
DevOps 入門版 | 是 | 否 | |
Docker 映像支援和私人容器登錄 | 是 | 是 | |
認證 | |||
CNCF-認證 | 是 | 是 | |
叢集生命週期管理 | |||
AKS Ux | 是 | 是 | |
AKS CIL (Windows 和 Linux) | 是 | 是 | |
AKS API | 是 | 是 | |
AKS 範本 | 是 | 是 | |
AKS PowerShell | 是 | 否 |
Azure 與 Azure Stack Hub 之間的差異
Azure 和 Azure Stack Hub 上的 AKS 共用相同的來源存放庫。 兩者之間沒有概念性的差異。 不過,請注意在 Azure Stack Hub 上使用 AKS 時,在不同的環境中操作兩者便會出現差異。 大部分的差異都與位於客戶資料中心內的系統有關,而且與 Azure Stack Hub 中尚未提供的功能相關。
客戶的資料中心內已連線或已中斷連線的 Azure Stack Hub
在這兩種案例中,Azure Stack Hub 在客戶的控制之下。 此外,客戶也可以在完全中斷連線、隔離的環境中部署 Azure Stack Hub。 您可能會想要考慮下列因素:
- 針對操作人員:
- 其必須確定 AKS 服務和對應的映射可供租用戶使用。
- 當解決支援事件時 (例如:收集戳記記錄),其必須與租用戶和 Microsoft 支援服務合作。 如需詳細資訊,請參閱操作員文章。
- 針對租用戶:
- 其需要與戳記運算子共同作業,以要求 AKS 基礎映像或 AKS 服務無法在戳記中使用。
- 其也需要在支援案例期間,與操作員和 Microsoft 支援服務共同作業。 其中一個工作會使用此處提供的資訊,來收集 AKS 叢集相關記錄。
使用 CLI 或 PowerShell 來連線至 Azure Stack Hub
當您使用 Azure CLI 連線到 Azure 時,CLI 二進位檔預設會使用 Microsoft Entra 標識碼進行驗證,以及 API 的全域 Azure Resource Manager 端點。 您也可以搭配使用 Azure CLI 與 Azure Stack Hub。 不過,您必須明確地連線到 Azure Stack Hub Azure Resource Manager 端點,並使用 Microsoft Entra 標識碼或 Active Directory 同盟服務 (AD FS) 進行驗證。 原因是 Azure Stack Hub 需在企業內運作,且企業可在中斷連線的情況下選擇 AD FS。
如需如何使用PowerShell Microsoft Entra標識碼或AD FS身分識別連線到 Azure Stack Hub 的相關信息,請參閱以使用者身分連線到 Azure Stack Hub。
使用此標識碼或AD FS身分識別來使用 Azure CLI 進行 Microsoft Entra 連線。
支援的平台功能
Azure Stack Hub 支援全域 Azure 中可用的功能子集。 請注意下列差異:
- 無標準負載平衡器。 Azure Stack Hub 只支援基本的負載平衡器,這表示下列相依於 Standard Load Balancer 的功能,尚無法在 Azure Stack Hub 上的 AKS 使用:
- 無參數 api-server-authorized-ip-ranges < /azure/aks/api-server-authorized-ip-ranges>
- 無參數 load-balancer-managed-ip-count /azure/aks/load-balancer-standard#scale-the-number-of-managed-outbound-public-ips
- 無參數 enable-private-cluster </azure/aks/private-clusters>
- 無叢集自動調整程式:< /azure/aks/cluster-autoscaler>
- 無參數 enable-cluster-autoscaler
- az aks update 無法使用。
- 沒有多個節點集區支援。 無法使用節點集區命令。
- 未啟用多節點集區作業的 UI 支援。
- 無 Azure 區域或可用性區域
- 無可用性設定組,僅存在虛擬機器擴展集
- 檢閱支援和不支援命令清單。
支援的服務
缺少部分 Azure 服務,其會限制 Azure Stack Hub 上的 AKS 部分功能選項:
- 無檔案服務。 如此一來,在 Azure Stack Hub 的 Kubernetes 中,不支援以檔案服務為基礎的磁碟區。
- 沒有 Azure Log Analytics 和 Azure 容器監視器。 任何 Kubernetes 叢集只要連線到網際網路,就可以連線到 Azure 容器監視器,如果其已中斷連線,Azure Stack Hub 中便無本機對等服務。 因此,在 Azure Stack Hub 的 AKS 中,不支援 Azure 容器監視器的整合作業。
- 無 Azure DevOps。 由於此服務不適用於已中斷連線的 Azure Stack Hub,因此並無整合式支援。
支援的 AKS API 和 Kubernetes 版本
Azure Stack Hub AKS 在 Kubernetes 和 AKS API 支援版本中的情況下,通常會不及於 Azure。 這是由於難以將程式碼傳送給客戶,使其能在自身的資料中心內執行程式碼。
在 Azure Stack Hub 上使用 AKS CLI 時,需變更的預設 Azure AKS CLI 參數值
基於上述兩個平台間的差異概述,使用者應該注意,在參數、命令和 API 中的部分預設值是在 Azure AKS 上運行,而非在 Azure Stack Hub AKS 中。 例如:
一般參數 | 備註 |
---|---|
--service-principal --client-secret |
Azure Stack Hub 尚不支援受控身分識別;一律需要服務主體認證。 |
--load-balancer-sku basic |
Azure Stack Hub 尚不支援標準負載平衡器 (SLB)。 |
--location |
位置值是客戶選擇的值。 |
服務主體可由 Microsoft Entra標識碼或AD FS提供
建立和管理 AKS 叢集時需要使用服務主體 (SPN)。 由於 Azure Stack Hub 可以從因特網中斷連線模式部署,因此必須使用替代身分識別管理員來 Microsoft Entra 識別碼,因此會使用 Active Directory 同盟服務 (AD FS) 。 此處記載 Azure Stack Hub 租用戶建立 SPN 的方式: