啟用時,Fleet Manager 中樞叢集會作為使用 資源放置跨成員叢集進行 Kubernetes 資源傳播的中央管理點。
什麼是 Fleet Manager 集線器叢集?
在 Azure Kubernetes Fleet Manager 中,中樞叢集在管理多成員叢集時扮演關鍵角色,但它們是可選的。
樞紐叢集透過KubeFleet的託管版本,促進資源佈置與艦隊管理的命名空間。
在此配置下,車隊由以下組成部分組成:
- fleet-hub-agent:Kubernetes 控制器,可建立和協調中樞叢集中所有與機群相關的自訂資源 (CR)。
- fleet-hub-agent:Kubernetes 控制器,可建立和協調中樞叢集中所有與機群相關的 CR。 此控制器會從中樞叢集提取最新的 CR,並一致地協調成員叢集以與所需的狀態相符。
中樞叢集設定
Fleet Manager 中樞叢集是完全受控的 Azure Kubernetes Service (AKS) 叢集,其具有下列屬性:
-
叢集名稱和位置: 中樞叢集一律會命名
hub為 ,且會在與 Fleet Manager 相同的 Azure 區域中建立。 -
中樞叢集的 Azure 資源群組: 中樞叢集 AKS 資源是以命名格式
FL_{fleet_manager_resource_group}_{fleet_manager_name}_{azure_region}的受控資源群組建立。 -
中樞叢集資源的 Azure 資源群組: 就像任何 AKS 叢集一樣,中樞叢集具有 Azure 資源,例如代理程式節點集區虛擬機擴展集,以及以命名格式
MC_FL_{fleet_manager_resource_group}_{fleet_manager_name}_{azure_region}在受控資源群組中建立的虛擬網路。 -
中樞叢集節點: 中樞叢集具有具有執行 Azure Linux 的單一節點的節點集區。 節點不會執行任何 Pod,而且不會影響中樞叢集效能。 從 Azure CLI 建立中樞叢集時,您可以使用 參數來選擇節點虛擬機 (VM) SKU 類型
--vm-size。 - 網路設定: 公用中樞叢集具有公用 API 伺服器,且具有相關聯的公用 IP 位址。 設定為私人存取時,API 伺服器只能透過 Azure 虛擬網路存取。
中樞叢集限制
中樞叢集具有下列限制,可確保其功能符合資源傳播和管理的必要條件:
- 命令調用已停用: 已針對中樞叢集停用透過 Azure CLI 使用命令調用(az aks 命令叫用)。
-
本機驗證已停用: 已停用透過系統管理員
kubeconfig存取,確保透過 Microsoft Entra 識別符獨占處理驗證,藉由集中訪問控制來增強安全性。 使用 az fleet get-credentials 取得kubeconfig中樞叢集的 。 -
拒絕指派: 透過 Azure 拒絕指派封鎖中樞叢集的 Azure 組態和相關聯的資源變更。 使用下列拒絕指派:
-
FLRG-DenyAssignments-{guid}:套用至中樞叢集資源群組,防止使用者修改中樞叢集。 -
kubernetes.azure.com/{guid}(選擇性):此拒絕指派可防止使用者修改中樞叢集 AKS 資源(虛擬機擴展集、網路),如 AKS 節點資源群組鎖定中所述。
-
- 未具現化已套用的資源: 中樞叢集不會將已套用的 Kubernetes 資源排程到中樞叢集節點。 某些 Kubernetes 資源必須使用信封物件來套用,以避免對中樞叢集造成副作用。 如需信封對象的詳細資訊,請參閱 Envelope Objects 的檔。
客戶的需求
為了讓 Fleet Manager 能夠建立並保持中樞叢集更新為最新修補程式,請確保:
Azure 原則不會封鎖叢集建立。 中樞叢集是受控 AKS 叢集。 如果你無法建立 AKS 叢集,那就無法建立 Fleet Manager 的中樞叢集。
訂用帳戶具有足夠的配額。 在叢集升級程序期間,需要一個中樞叢集節點的額外 VM 執行個體。 如需增加配額的詳細資訊,請參閱 配額檔。
中樞叢集具有因特網存取權。 需要輸出連線才能安裝更新。 具有使用者定義路由 (UDR) 或防火牆規則之網路上的私人中樞可能會封鎖輸出連線。 如需輸出連線的詳細資訊,請參閱 AKS 輸出網路的檔。
不需要管理 Fleet Manager 中樞叢集的更新。 Microsoft會自動將中樞叢集更新為最新版本的 Kubernetes 或節點映像,因為它們可從 AKS 取得。 您可以在 AKS 發行追蹤器上追蹤更新版本。