Megosztás a következőn keresztül:

Azure Kubernetes Service-fürt csatlakoztatása az Azure Archoz

  • Cikk

A következőkre vonatkozik: AKS az Azure Local 22H2-n, AKS Windows Serveren

Ha egy Azure Kubernetes Service-fürt (AKS) csatlakozik az Azure Archoz, az Azure Resource Manager-reprezentációt kap. A fürtök standard Azure-előfizetésekhez vannak csatolva, egy erőforráscsoportban találhatók, és ugyanúgy fogadhatnak címkéket, mint bármely más Azure-erőforrást. A Kubernetes-ábrázolás lehetővé teszi a következő képességek kiterjesztését a Kubernetes-fürtre is:

  • Felügyeleti szolgáltatások: konfigurációk (GitOps), Azure Monitor tárolókhoz, Azure Policy (Gatekeeper).
  • Adatszolgáltatások: felügyelt SQL-példány, Rugalmas skálázású PostgreSQL.
  • Alkalmazásszolgáltatások: App Service, Functions, Event Grid, Logic Apps, API Management.

A Kubernetes-fürtök Azure-hoz való csatlakoztatásához a fürt rendszergazdájának ügynököket kell üzembe helyeznie. Ezek az ügynökök egy Azure-arc nevű Kubernetes-névtérben futnak, és szabványos Kubernetes-üzemelő példányok. Az ügynökök felelősek az Azure-hoz való csatlakozásért, az Azure Arc-naplók és metrikák gyűjtéséért, valamint a fürtben korábban említett forgatókönyvek engedélyezéséért.

Az AKS támogatja az iparági szabványnak megfelelő SSL-t az átvitel közbeni adatok védelméhez. Emellett az adatok titkosítva vannak tárolva egy Azure Cosmos DB-adatbázisban az adatok bizalmasságának biztosítása érdekében.

Az alábbi lépések bemutatják, hogyan csatlakoztathatók az AKS-fürtök az Azure Archoz az Arc által engedélyezett AKS-ben. Ezeket a lépéseket kihagyhatja, ha már csatlakoztatta a Kubernetes-fürtöt az Azure Archoz a Windows Felügyeleti központ használatával.

Mielőtt elkezdené

Ellenőrizze, hogy rendelkezik-e a következő követelményekkel:

  • Egy AKS-fürt , amely legalább egy linuxos feldolgozó csomóponttal rendelkezik, amely működik.
  • Telepítse az AksHci PowerShell-modult.
  • Az Azure-előfizetés következő hozzáférési szintje:
    • Egy beépített tulajdonosi szerepkörrel rendelkező felhasználói fiók. A hozzáférési szint ellenőrzéséhez navigáljon az előfizetéséhez, válassza a "Hozzáférés-vezérlés (IAM)" lehetőséget az Azure Portal bal oldalán, majd kattintson a Hozzáférés megtekintése elemre.
    • Egy beépített tulajdonosi szerepkörrel rendelkező szolgáltatásnév.
  • Futtassa a cikkben található parancsokat egy PowerShell felügyeleti ablakban.
  • Győződjön meg arról, hogy megfelel az AKS hálózati követelményeinek.

1. lépés: Bejelentkezés az Azure-ba

Az Azure-ba való bejelentkezéshez futtassa a Connect-AzAccount PowerShell parancsot:

Connect-AzAccount $tenantId

Ha másik előfizetésre szeretne váltani, futtassa a Set-AzContext PowerShell parancsot:

Set-AzContext -Subscription $subscriptionId

2. lépés: A két szolgáltató regisztrálása az AKS-hez

Ezt a lépést kihagyhatja, ha már regisztrálta az AKS két szolgáltatóját az előfizetésében. A regisztráció aszinkron folyamat, amelyet előfizetésenként egyszer kell elvégezni. A regisztráció körülbelül 10 percet vehet igénybe:

Register-AzResourceProvider -ProviderNamespace Microsoft.Kubernetes
Register-AzResourceProvider -ProviderNamespace Microsoft.KubernetesConfiguration
Register-AzResourceProvider -ProviderNamespace Microsoft.ExtendedLocation

Ellenőrizze, hogy regisztrálva van-e a következő parancsokkal:

Get-AzResourceProvider -ProviderNamespace Microsoft.Kubernetes
Get-AzResourceProvider -ProviderNamespace Microsoft.KubernetesConfiguration
Get-AzResourceProvider -ProviderNamespace Microsoft.ExtendedLocation

3. lépés: Csatlakozás az Azure Archoz az Aks-Hci PowerShell-modullal

Csatlakoztassa az AKS-fürtöt a Kuberneteshez az Enable-AksHciArcConnection PowerShell paranccsal. Ez a lépés üzembe helyezi a KubernetesHez készült Azure Arc-ügynököket a azure-arc névtérben:

Enable-AksHciArcConnection -name $clusterName

Az AKS-fürt csatlakoztatása az Azure Archoz szolgáltatásnév használatával

Ha nem rendelkezik hozzáféréssel olyan előfizetéshez, amelyen Ön tulajdonos, az AKS-fürtöt egy szolgáltatásnévvel csatlakoztathatja az Azure Archoz.

Az első parancssor kéri a szolgáltatásnév hitelesítő adatait, és tárolja őket a $Credential változóban. Amikor a rendszer kéri, adja meg az alkalmazásazonosítót a felhasználónévhez, majd használja a szolgáltatásnév titkos kódját jelszóként. Győződjön meg arról, hogy ezeket az értékeket az előfizetés rendszergazdájától kapja meg. A második parancs a változóban tárolt egyszerű szolgáltatásnév hitelesítő adataival csatlakoztatja a fürtöt az $Credential Azure Archoz:

$Credential = Get-Credential
Enable-AksHciArcConnection -name $clusterName -subscriptionId $subscriptionId -resourceGroup $resourceGroup -credential $Credential -tenantId $tenantId -location $location

Győződjön meg arról, hogy a parancsban használt szolgáltatásnév tulajdonosi szerepkörrel rendelkezik, és hogy hatóköre van a parancsban használt előfizetés-azonosítón. További információ a szolgáltatásnevekről: Szolgáltatásnév létrehozása az Azure PowerShell-lel.

Az AKS-fürt csatlakoztatása az Azure Archoz és egyéni helyek engedélyezése

Ha egyéni helyeket szeretne engedélyezni a fürtben az Azure Arctal együtt, futtassa a következő parancsot az egyéni helyalkalmazás objektumazonosítójának lekéréséhez, majd csatlakozzon az Azure Archoz egy szolgáltatásnév használatával:

$objectID = (Get-AzADServicePrincipal -ApplicationId "00001111-aaaa-2222-bbbb-3333cccc4444").Id
Enable-AksHciArcConnection -name $clusterName -subscriptionId $subscriptionId -resourceGroup $resourceGroup -credential $Credential -tenantId $tenantId -location -customLocationsOid $objectID

A csatlakoztatott fürt ellenőrzése

A Kubernetes-fürterőforrást az Azure Portalon tekintheti meg. Miután megnyitotta a portált a böngészőben, keresse meg az erőforráscsoportot és az AKS-erőforrást, amely az enable-akshciarcconnection PowerShell parancsban használt erőforrásnév- és erőforráscsoport-névbeviteleken alapul.

Feljegyzés

A fürt csatlakoztatása után a fürt metaadatai (fürtverzió, ügynökverzió, csomópontok száma) legfeljebb 5–10 percet vehet igénybe az AKS-erőforrás áttekintési oldalán az Azure Portalon.

Azure Arc-ügynökök a Kuberneteshez

Az AKS üzembe helyez néhány operátort a azure-arc névtérben. Ezeket az üzemelő példányokat és podokat kubectlaz alábbi példában látható módon tekintheti meg:

kubectl -n azure-arc get deployments,pods

Az AKS néhány ügynökből (operátorból) áll, amelyek a azure-arc névtérben üzembe helyezett fürtben futnak. Az ügynökökkel kapcsolatos további információkért tekintse meg ezt az áttekintést.

Az AKS-fürt leválasztása az Azure Arcról

Ha le szeretné választani a fürtöt az AKS-ről, futtassa a Disable-AksHciArcConnection PowerShell parancsot. A parancs futtatása előtt győződjön meg arról, hogy bejelentkezik az Azure-ba:

Disable-AksHciArcConnection -Name $clusterName

Következő lépések