Megosztás a következőn keresztül:

Az Azure Kubernetes Service (AKS) és az Arc-kompatibilis Kubernetes-projekt Dapr-bővítményének konfigurálása

  • Cikk

A Dapr-bővítmény telepítésének előfeltételeinek elvégzése után konfigurálhatja a Dapr-bővítményt úgy, hogy a legjobban működjön Az Ön és a projekt számára különböző konfigurációs lehetőségek használatával, például:

  • Lejáró tanúsítványok elforgatása
  • A Dapr kiépítése magas rendelkezésre állással (HA) engedélyezve
  • Annak korlátozása, hogy melyik csomópont használja a Dapr-bővítményt
  • Automatikus egyéni erőforrásdefiníciós (CRD-) frissítések beállítása
  • A Dapr kiadási névterének konfigurálása

A bővítmény lehetővé teszi a Dapr konfigurációs beállításainak beállítását az --configuration-settings Azure CLI paraméterével vagy configurationSettings egy Bicep-sablon tulajdonságával.

MTLS-tanúsítványok kezelése

A Dapr-bővítmény támogatja a Dapr-példányok közötti kommunikáció átvitel közbeni titkosítását a Dapr Sentry szolgáltatás vezérlősíkjával, amely egy központi hitelesítésszolgáltató (CA). A Sentry szolgáltatással önaláírt vagy felhasználó által megadott x.509-tanúsítványok használatával titkosíthatja a kommunikációt. További információ az mTLS-tanúsítványok beállításáról a nyílt forráskódú Dapr-dokumentációban.

Létrehozhat saját tanúsítványokat, vagy engedélyezheti, hogy a Dapr automatikusan hozzon létre és őrizze meg az önaláírt fő- és kiállítói tanúsítványokat.

Fontos

Ha nem konfigurálja kifejezetten a tanúsítványokat, a Dapr alapértelmezés szerint önaláírt tanúsítványokat hoz létre, amelyek általában 1 évig érvényesek. Jelenleg nem ajánlott a Dapr által létrehozott önaláírt tanúsítványok használata. Az ajánlott eljárás az egyéni tanúsítványok létrehozása és manuális frissítése.

Dapr által létrehozott önaláírt tanúsítványok kezelése

Ha nem adott meg egyéni tanúsítványokat, a Dapr automatikusan létrehozza és megőrzi az önaláírt tanúsítványokat, amelyek 1 évig érvényesek. A Dapr-bővítmény telepíti a dapr-trust-bundle titkos kódot, amely az alapértelmezett dapr-system névtérben található tanúsítványadatokat tartalmazza.

Az aktuális Dapr által létrehozott önaláírt tanúsítványok lejáratának ellenőrzése

A Dapr parancssori felület használatával ellenőrizheti, hogy a Kubernetes-fürt Dapr főtanúsítványa mikor jár le.

dapr mtls expiry

Várt kimenet:

Root certificate expires in 8759 hours. Expiry date: 2025-12-06 18:14:20 +0000 UTC

Az aktuális tanúsítvány lejárati dátumát a Kubernetes titkos adatai között is megtalálhatja dapr-trust-bundle .

kubectl get secret dapr-trust-bundle -n dapr-system -o jsonpath='{.data.issuer\.crt}' | base64 -d | openssl x509 -noout -dates

Várt kimenet:

notBefore=Dec  6 17:59:20 2024 GMT
notAfter=Dec  6 18:14:20 2025 GMT

Új Dapr által létrehozott önaláírt tanúsítvány létrehozása

Saját, felhasználó által megadott x.509-tanúsítványok kezelése

Saját egyéni tanúsítványokat is használhat.

  • Egyéni tanúsítványok létrehozása
    Saját egyéni tanúsítvány létrehozása; például egy Azure Key Vault-tanúsítvány.
  • Az egyéni tanúsítvány manuális frissítése
    Az egyéni tanúsítványok manuális kubectlfrissítéséhez kövesse a Dapr nyílt forráskód dokumentációjában található utasításokat.

A Dapr kiépítése magas rendelkezésre állással (HA) engedélyezve

A Dapr magas rendelkezésre állású (HA) kiépítése a paraméter truebeállításával global.ha.enabled engedélyezve van.

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2"

Feljegyzés

Ha a konfigurációs beállítások bizalmasak, és védelemre van szükség (például tanúsítványokkal kapcsolatos információk), adja át a --configuration-protected-settings paramétert, és az érték védett lesz az olvasástól.

Ha nem adnak át konfigurációs beállításokat, a Dapr-konfiguráció alapértelmezés szerint a következő:

  ha:
    enabled: true
    replicaCount: 3
    disruption:
      minimumAvailable: ""
      maximumUnavailable: "25%"
  prometheus:
    enabled: true
    port: 9090
  mtls:
    enabled: true
    workloadCertTTL: 24h
    allowedClockSkew: 15m

Az elérhető lehetőségek listáját a Dapr-konfigurációban találja.

A bővítmény korlátozása bizonyos csomópontokra

Egyes konfigurációkban előfordulhat, hogy csak bizonyos csomópontokon szeretné futtatni a Daprt. A bővítmény korlátozásához adjon meg egy nodeSelector bővítménykonfigurációt. Ha a kívánt nodeSelector tartalmaz ., a rendszerhéjból és a bővítményből kell kimenekülnie. Az alábbi konfiguráció például csak a következő csomópontokra telepíti a Daprt topology.kubernetes.io/zone: "us-east-1c":

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2" \
--configuration-settings "global.nodeSelector.kubernetes\.io/zone=us-east-1c"

Az operációs rendszer és az architektúra kezeléséhez használja a támogatott verziókat és global.daprControlPlaneArch konfigurációkatglobal.daprControlPlaneOs:

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2" \
--configuration-settings "global.daprControlPlaneOs=linux” \
--configuration-settings "global.daprControlPlaneArch=amd64”

A Dapr telepítése több rendelkezésre állási zónában HA módban

Az elhelyezési szolgáltatás alapértelmezés szerint egy tárolási osztályt standard_LRShasznál. Javasoljuk, hogy hozzon létre egy zónaredundáns tárolási osztályt, miközben több rendelkezésre állási zónában telepíti a Daprt HA módban. Például egy típustárosztály létrehozásához zrs adja hozzá a paramétert storageaccounttype :

kind: StorageClass
apiVersion: storage.k8s.io/v1
metadata:
  name: custom-zone-redundant-storage
provisioner: disk.csi.azure.com
reclaimPolicy: Delete
allowVolumeExpansion: true
volumeBindingMode: WaitForFirstConsumer
parameters:
  storageaccounttype: Premium_ZRS

A Dapr telepítésekor használja a YAML-fájlban használt tárolási osztályt:

az k8s-extension create --cluster-type managedClusters  
--cluster-name XXX  
--resource-group XXX  
--name XXX  
--extension-type Microsoft.Dapr  
--auto-upgrade-minor-version XXX  
--version XXX  
--configuration-settings "dapr_placement.volumeclaims.storageClassName=custom-zone-redundant-storage"

A Dapr kiadási névterének konfigurálása

Konfigurálhatja a kiadási névteret.

A Dapr-bővítmény alapértelmezés szerint telepítve lesz a dapr-system névtérben. A felülbíráláshoz használja a következőt --release-namespace: . A névtér újbóli definiálásához adja meg a fürtöt --scope.

az k8s-extension create \
--cluster-type managedClusters \
--cluster-name dapr-aks \
--resource-group dapr-rg \
--name my-dapr-ext \
--extension-type microsoft.dapr \
--release-train stable \
--auto-upgrade false \
--version 1.9.2 \
--scope cluster \
--release-namespace dapr-custom

Megtudhatja, hogyan konfigurálhatja a Dapr kiadási névterét, amikor a Dapr nyílt forráskód-ból a Dapr-bővítménybe migrál.

Aktuális konfigurációs beállítások megjelenítése

az k8s-extension show A parancs használatával megjelenítheti az aktuális Dapr-konfigurációs beállításokat:

az k8s-extension show --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr

Konfigurációs beállítások frissítése

Fontos

Egyes konfigurációs beállítások nem módosíthatók a létrehozás után. A beállítások módosításához törölni kell a bővítményt, és fel kell újítania a bővítményt, amely az alábbi beállításokra vonatkozik:

  • global.ha.*
  • dapr_placement.*

A HA alapértelmezés szerint engedélyezve van. A letiltáshoz a bővítmény törlése és rekreációja szükséges.

A Dapr konfigurációs beállításainak frissítéséhez hozza létre újra a bővítményt a kívánt állapottal. Tegyük fel például, hogy korábban a következő konfigurációval hozta létre és telepítette a bővítményt:

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \  
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2"

A dapr_operator.replicaCount kettőről a háromra való frissítéshez használja a következő parancsot:

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=3"

A helyszíni Azure Arc Dapr-bővítmény kimenő proxyjának beállítása

Ha kimenő proxyt szeretne használni az AKS Dapr-bővítményével, ezt a következőkkel teheti meg:

  1. A proxykörnyezet változóinak beállítása a dapr.io/env széljegyzetek használatával:
    • HTTP_PROXY
    • HTTPS_PROXY
    • NO_PROXY
  2. A proxytanúsítvány telepítése az oldalkocsiban.

A Dapr telepítési verziójának frissítése

Ha egy adott Dapr-verzióval rendelkezik, és nem érhető --auto-upgrade-minor-version el, a következő paranccsal frissítheti vagy leminősítheti a Daprt:

az k8s-extension update --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--version 1.12.0 # Version to upgrade or downgrade to

Az előző parancs csak a Dapr vezérlősíkot frissíti. A Dapr oldalkocsik frissítéséhez indítsa újra az alkalmazástelepítéseket:

kubectl rollout restart deploy/<DEPLOYMENT-NAME>

Azure Linux-alapú rendszerképek használata

A Dapr 1.8.0-s verziójában Azure Linux-rendszerképeket használhat a Dapr-bővítménysel. A használatukhoz állítsa be a jelölőt global.tag :

az k8s-extension update --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--set global.tag=1.10.0-mariner

Automatikus CRD-frissítések letiltása

A Dapr 1.9.2-es verziójában a rendszer automatikusan frissíti a CRD-ket a bővítmény frissítésekor. A beállítás letiltásához állítsa be a következőt hooks.applyCrds false: .

az k8s-extension update --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--configuration-settings "hooks.applyCrds=false"

Feljegyzés

A CRD-k csak frissítések esetén lesznek alkalmazva, és a visszalépések során kimaradnak.

A hálózati követelményeknek való megfelelés

A Dapr-bővítményhez a következő kimenő URL-címek szükségesek https://:443 az AKS-en és az Arc for Kubernetes-en való működéshez:

  1. https://mcr.microsoft.com/daprio A Dapr-összetevők lekérésének URL-címe.
  2. Az AKS-hez vagy a Kuberneteshez tartozó Archoz szükséges kimenő URL-címek.

Következő lépések