在 Azure Kubernetes Service (AKS) 上建立用來執行 MongoDB 叢集的基礎結構

在本文中，您會建立要在 Azure Kubernetes Service (AKS) 上執行 MongoDB 叢集所需的基礎結構資源。

先決條件

• 檢閱在 AKS 上部署 MongoDB 叢集的概觀 (部分機器翻譯)。
• Azure 訂用帳戶。 如果您沒有訂用帳戶，請建立免費帳戶。
• Azure CLI 2.61.0 版。 若要安裝或升級，請參閱安裝 Azure CLI。
• Helm 第 3 版或更新版本。 若要安裝，請參閱安裝 Helm (英文)。
• kubectl，Azure Cloud Shell 預設會安裝。
• 安裝在本機電腦上的 Docker。 若要安裝，請參閱取得 Docker (英文)。

設定環境變數

設定所需的環境變數，以在整個指南中使用：

random=$(echo $RANDOM | tr '[0-9]' '[a-z]')
export MY_LOCATION=australiaeast
export MY_RESOURCE_GROUP_NAME=myResourceGroup-rg-$(echo $MY_LOCATION)
export MY_ACR_REGISTRY=mydnsrandomname$(echo $random)
export MY_IDENTITY_NAME=ua-identity-123
export MY_KEYVAULT_NAME=vault-$(echo $random)-kv
export MY_CLUSTER_NAME=cluster-aks
export SERVICE_ACCOUNT_NAME=mongodb
export SERVICE_ACCOUNT_NAMESPACE=mongodb
export AKS_MONGODB_NAMESPACE=mongodb
export AKS_MONGODB_SECRETS_NAME=cluster-aks-mongodb-secrets
export AKS_MONGODB_CLUSTER_NAME=cluster-aks-mongodb
export AKS_MONGODB_SECRETS_ENCRYPTION_KEY=cluster-aks-mongodb-secrets-mongodb-encryption-key
export AKS_AZURE_SECRETS_NAME=cluster-aks-azure-secrets
export AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME=mongodbsa$(echo $random)
export AKS_MONGODB_BACKUP_STORAGE_CONTAINER_NAME=backups

建立資源群組

• 使用 az group create (部分機器翻譯) 命令建立資源群組。

  az group create --name $MY_RESOURCE_GROUP_NAME --location $MY_LOCATION --output table
  

  範例輸出︰

  Location       Name
  -------------  --------------------------------
  australiaeast  myResourceGroup-rg-australiaeast   
  

建立身分識別以存取 Azure Key Vault 中的秘密

在此步驟中，您會建立使用者指派的受控識別，讓外部秘密操作員用來存取儲存在 Azure Key Vault 中的 MongoDB 密碼。

• 使用 az identity create 命令建立使用者指派的受控識別。

  az identity create --name $MY_IDENTITY_NAME --resource-group $MY_RESOURCE_GROUP_NAME --output none
  export MY_IDENTITY_NAME_ID=$(az identity show --name $MY_IDENTITY_NAME -g $MY_RESOURCE_GROUP_NAME --query id -o tsv)
  export MY_IDENTITY_NAME_PRINCIPAL_ID=$(az identity show --name $MY_IDENTITY_NAME -g $MY_RESOURCE_GROUP_NAME --query principalId -o tsv)
  export MY_IDENTITY_NAME_CLIENT_ID=$(az identity show --name $MY_IDENTITY_NAME -g $MY_RESOURCE_GROUP_NAME --query clientId -o tsv)
  

建立 Azure 金鑰保存庫執行個體

• 使用 az keyvault create (部分機器翻譯) 命令建立 Azure Key Vault 執行個體。

  az keyvault create --name $MY_KEYVAULT_NAME --resource-group $MY_RESOURCE_GROUP_NAME --location $MY_LOCATION --enable-rbac-authorization false --output table
  export KEYVAULTID=$(az keyvault show --name $MY_KEYVAULT_NAME --query "id" --output tsv)
  export KEYVAULTURL=$(az keyvault show --name $MY_KEYVAULT_NAME --query "properties.vaultUri" --output tsv)
  

  範例輸出︰

  Location       Name            ResourceGroup
  -------------  --------------  --------------------------------
  australiaeast  vault-cjcfc-kv  myResourceGroup-rg-australiaeast
  

建立 Azure Container Registry 執行個體

• 建立 Azure Container Registry 執行個體，以使用 az acr create (部分機器翻譯) 命令來儲存和管理容器映像。

  az acr create \
  --name ${MY_ACR_REGISTRY} \
  --resource-group $MY_RESOURCE_GROUP_NAME \
  --sku Premium \
  --location $MY_LOCATION \
  --admin-enabled true \
  --output table
  export MY_ACR_REGISTRY_ID=$(az acr show --name $MY_ACR_REGISTRY --resource-group $MY_RESOURCE_GROUP_NAME --query id -o tsv)
  

  範例輸出︰

  NAME                  RESOURCE GROUP                    LOCATION       SKU      LOGIN SERVER                     CREATION DATE         ADMIN ENABLED
  --------------------  --------------------------------  -------------  -------  -------------------------------  --------------------  ---------------
  mydnsrandomnamecjcfc  myResourceGroup-rg-australiaeast  australiaeast  Premium  mydnsrandomnamecjcfc.azurecr.io  2024-07-01T12:18:34Z  True
  

建立 Azure 儲存體帳戶

• 建立 Azure 儲存體帳戶，以使用 az acr create (部分機器翻譯) 命令來儲存 MongoDB 備份。

  az storage account create --name $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME --resource-group $MY_RESOURCE_GROUP_NAME --location $MY_LOCATION --sku Standard_ZRS --output table
  az storage container create --name $AKS_MONGODB_BACKUP_STORAGE_CONTAINER_NAME --account-name $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME --output table
  export AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_KEY=$(az storage account keys list --account-name $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME --query "[0].value" -o tsv)
  az keyvault secret set --vault-name $MY_KEYVAULT_NAME --name AZURE-STORAGE-ACCOUNT-KEY --value $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_KEY --output none
  

  範例輸出︰

  AccessTier    AllowBlobPublicAccess    AllowCrossTenantReplication    CreationTime                      EnableHttpsTrafficOnly    Kind       Location       MinimumTlsVersion    Name            PrimaryLocation    ProvisioningState    ResourceGroup
  StatusOfPrimary
  ------------  -----------------------  -----------------------------  --------------------------------  ------------------------  ---------  -------------  -------------------  --------------  -----------------  -------------------  --------------------------------  -----------------
  Hot           False                    False                          2024-08-09T07:06:41.727230+00:00  True                      StorageV2  australiaeast  TLS1_0               mongodbsabdibh  australiaeast      Succeeded            myResourceGroup-rg-australiaeast  available
  Created
  ---------
  True
  

建立 AKS 叢集

在下列步驟中，您會建立已啟用工作負載身分識別和 OpenID Connect (OIDC) 簽發者的 AKS 叢集。 工作負載身分識別會為外部秘密操作員服務帳戶提供權限，讓其用來存取儲存在金鑰保存庫中的 MongoDB 密碼。

1. 使用 az aks create 命令建立 AKS 叢集。

   az aks create \
   --location $MY_LOCATION \
   --name $MY_CLUSTER_NAME \
   --tier standard \
   --resource-group $MY_RESOURCE_GROUP_NAME \
   --network-plugin azure \
   --node-vm-size Standard_DS4_v2 \
   --node-count 1 \
   --nodepool-name systempool \
   --nodepool-tags "pool=system" \
   --auto-upgrade-channel stable \
   --node-os-upgrade-channel NodeImage \
   --attach-acr ${MY_ACR_REGISTRY} \
   --enable-oidc-issuer \
   --enable-workload-identity \
   --zones 1 2 3 \
   --generate-ssh-keys \
   --output none
   

2. 使用 az aks nodepool add (部分機器翻譯) 命令將使用者節點集區新增至 AKS 叢集。 此節點集區是 MongoDB Pod 執行所在的位置。

   az aks nodepool add \
   --resource-group $MY_RESOURCE_GROUP_NAME \
   --cluster-name $MY_CLUSTER_NAME \
   --name mongodbpool \
   --node-vm-size Standard_DS4_v2 \
   --node-count 3 \
   --zones 1 2 3 \
   --mode User \
   --output table
   

   範例輸出︰

   Name        OsType    KubernetesVersion    VmSize           Count    MaxPods    ProvisioningState    Mode
   ----------  --------  -------------------  ---------------  -------  ---------  -------------------  ------
   userpool    Linux     1.28                 Standard_DS4_v2  3        30         Succeeded            User
   

3. 使用 az aks show (部分機器翻譯) 命令取得要用於工作負載身分識別設定的 OIDC 簽發者 URL。

   export OIDC_URL=$(az aks show --resource-group $MY_RESOURCE_GROUP_NAME --name $MY_CLUSTER_NAME --query oidcIssuerProfile.issuerUrl -o tsv)
   

4. 使用 AcrPull 命令，將 az role assignment create 角色指派給 kubelet 身分識別。

   export KUBELET_IDENTITY=$(az aks show -g $MY_RESOURCE_GROUP_NAME --name $MY_CLUSTER_NAME -o tsv --query identityProfile.kubeletidentity.objectId)
   az role assignment create \
   --assignee ${KUBELET_IDENTITY} \
   --role "AcrPull" \
   --scope ${MY_ACR_REGISTRY_ID} \
   --output none
   

將 Percona 映像上傳至 Azure Container Registry

在本節中，您會從 Docker Hub 下載 Percona 映像，並將其上傳至 Azure Container Registry。 此步驟可確保映像可在您的私人登錄中使用，而且可用於 AKS 叢集中。 不建議在生產環境中取用公用映像。

• 使用下列 az acr import (部分機器翻譯) 命令，從 Docker Hub 匯入 Percona 映像，並將其上傳至 Azure Container Registry：

  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/percona-server-mongodb:7.0.8-5  \
      --image percona-server-mongodb:7.0.8-5
  
  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/pmm-client:2.41.2  \
      --image pmm-client:2.41.2
  
  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/percona-backup-mongodb:2.4.1  \
      --image percona-backup-mongodb:2.4.1
  
  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/percona-server-mongodb-operator:1.16.1  \
      --image percona-server-mongodb-operator:1.16.1
  

使用 Terraform 部署基礎結構

若要使用 Terraform 部署基礎結構，我們將使用適用於 AKS 的 Azure 驗證模組 。 存放庫 terraform-azurerm-avm-res-containerservice-managedcluster 包含完整範例，其中包含在 Azure Kubernetes Service （AKS） 上執行 MongoDB 叢集所需的基礎結構。

備註

如果您打算在生產環境中執行此作業，建議您查看 適用於 Azure 已驗證模組的 AKS 生產模式模組。 這與最佳實踐建議搭配使用。

1. 使用 terraform 模組複製 Git 存放庫：

   git clone https://github.com/Azure/terraform-azurerm-avm-res-containerservice-managedcluster.git
   cd examples/stateful-workloads
   

2. 使用下列命令建立 mongodb.tfvars 檔案來定義變數：

   cat > mongodb.tfvars <<EOL
   location = "$MY_LOCATION"
   resource_group_name = "$MY_RESOURCE_GROUP_NAME"
   acr_registry_name = "$MY_ACR_REGISTRY"
   cluster_name = "$MY_CLUSTER_NAME"
   identity_name = "$MY_IDENTITY_NAME"
   keyvault_name = "$MY_KEYVAULT_NAME"
   aks_mongodb_backup_storage_account_name = "$AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME"
   aks_mongodb_backup_storage_container_name = "$AKS_MONGODB_BACKUP_STORAGE_CONTAINER_NAME"
   mongodb_enabled = true
   mongodb_namespace = "$AKS_MONGODB_NAMESPACE"
   service_account_name = "$SERVICE_ACCOUNT_NAME"
   
   acr_task_content = <<-EOF
   version: v1.1.0
   steps:
     - cmd: bash echo Waiting 10 seconds the propagation of the Container Registry Data Importer and Data Reader role
     - cmd: bash sleep 10
     - cmd: az login --identity
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/percona-server-mongodb:7.0.8-5 --image percona-server-mongodb:7.0.8-5
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/pmm-client:2.41.2 --image pmm-client:2.41.2
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/percona-backup-mongodb:2.4.1 --image percona-backup-mongodb:2.4.1
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/percona-server-mongodb-operator:1.16.1 --image percona-server-mongodb-operator:1.16.1
   EOF
   
   node_pools = {
     mongodbserver = {
       name       = "mongodbpool"
       vm_size    = "Standard_D2ds_v4"
       node_count = 3
       zones      = [1, 2, 3]
       os_type    = "Linux"
     }
   }
   EOL
   

3. 執行下列 Terraform 命令來部署基礎結構：

   terraform init
   terraform fmt
   terraform apply -var-file="mongodb.tfvars"
   

4. 執行下列命令，將 Terraform 輸出值匯出為終端機中的環境變數，以在後續步驟中使用它們：

   export MY_ACR_REGISTRY_ID=$(terraform output -raw acr_registry_id)
   export MY_ACR_REGISTRY=$(terraform output -raw acr_registry_name)
   export MY_CLUSTER_NAME=$(terraform output -raw aks_cluster_name)
   export KUBELET_IDENTITY=$(terraform output -raw aks_kubelet_identity_id)
   export OIDC_URL=$(terraform output -raw aks_oidc_issuer_url)
   export identity_name=$(terraform output -raw identity_name)
   export MY_IDENTITY_NAME_ID=$(terraform output -raw identity_name_id)
   export MY_IDENTITY_NAME_PRINCIPAL_ID=$(terraform output -raw identity_name_principal_id)
   export MY_IDENTITY_NAME_CLIENT_ID=$(terraform output -raw identity_name_client_id)
   export KEYVAULTID=$(terraform output -raw key_vault_id)
   export KEYVAULTURL=$(terraform output -raw key_vault_uri)
   export AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_KEY=$(terraform output -raw storage_account_key)
   export STORAGE_ACCOUNT_NAME=$(terraform output -raw storage_account_name)
   export TENANT_ID=$(terraform output -raw identity_name_tenant_id)
   

備註

在 AKS 中，保持運作時間 (在傳送第一個保持運作探查之前的無活動期間) 預設期間為 7,200 秒或 2 小時 (部分機器翻譯)。 對於 MongoDB，您通常會在使用較短的 keepalive 值時（約為 120 秒或 2 分鐘），得到更好的結果。

連線到 AKS 叢集

• 使用 kubectl 命令，設定 az aks get-credentials 以連線到您的 AKS 叢集。

  az aks get-credentials --resource-group $MY_RESOURCE_GROUP_NAME --name $MY_CLUSTER_NAME --overwrite-existing --output table
  

後續步驟

在 AKS 上設定及部署 MongoDB 叢集