Udostępnij za pośrednictwem

Łączenie klastra AKS Edge Essentials z usługą Arc

  • Artykuł

W tym artykule opisano sposób łączenia klastra usługi AKS Edge Essentials z usługą Azure Arc w celu monitorowania kondycji klastra w witrynie Azure Portal. Jeśli klaster jest połączony z serwerem proxy, możesz użyć skryptów podanych w repozytorium GitHub, aby połączyć klaster z usługą Arc zgodnie z opisem tutaj.

Ważne

Począwszy od wersji AKS Edge Essentials 1.10.868.0, wymagana jest sekcja Arc pliku konfiguracji. Połączenie usługi Azure Arc odbywa się automatycznie po uruchomieniu New-AksEdgeDeployment w celu wdrożenia klastra usługi AKS Edge Essentials.

Wymagania wstępne

  • Przed nawiązaniem połączenia z usługą Arc administratorzy infrastruktury będący właścicielem lub współautorem subskrypcji muszą:
    1. Włącz wszystkich wymaganych dostawców zasobów w subskrypcji platformy Azure, takich jak Microsoft.HybridCompute, Microsoft.GuestConfiguration, Microsoft.HybridConnectivity, Microsoft.Kubernetes, Microsoft.ExtendedLocation i Microsoft.KubernetesConfiguration.
    2. Utwórz i zweryfikuj grupę zasobów Azure dla AKS Edge Essentials.
  • Aby połączyć się z usługą Arc, operatorzy platformy Kubernetes potrzebują roli Klastra Kubernetes - Azure Arc Onboarding dla tożsamości na poziomie grupy zasobów. Aby odłączyć się od Arc, operatorzy muszą mieć rolę współautora usługi Azure Kubernetes Service Arc dla tożsamości na poziomie grupy zasobów. Aby sprawdzić poziom dostępu, przejdź do subskrypcji w witrynie Azure Portal, wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) po lewej stronie, a następnie wybierz pozycję Wyświetl mój dostęp. Aby uzyskać więcej informacji na temat zarządzania grupami zasobów, zobacz dokumentację platformy Azure. Administratorzy infrastruktury z rolami właściciela lub współautora mogą również wykonywać akcje w celu nawiązania połączenia lub rozłączenia z usługą Arc.
  • Oprócz tych wymagań wstępnych upewnij się, że spełniasz wszystkie wymagania sieciowe dla platformy Kubernetes z obsługą usługi Azure Arc.

Uwaga

Aby usunąć zasoby w grupie zasobów, potrzebujesz roli Kontrybutor. Polecenia rozłączenia się z Arc zakończą się niepowodzeniem bez tego przydzielenia roli.

Krok 1. Konfigurowanie maszyny

Instalowanie zależności

Uruchom następujące polecenia w oknie programu PowerShell z podwyższonym poziomem uprawnień, aby zainstalować zależności w programie PowerShell:

Install-Module Az.Resources -Repository PSGallery -Force -AllowClobber -ErrorAction Stop  
Install-Module Az.Accounts -Repository PSGallery -Force -AllowClobber -ErrorAction Stop 
Install-Module Az.ConnectedKubernetes -Repository PSGallery -Force -AllowClobber -ErrorAction Stop

Krok 2. Konfigurowanie środowiska platformy Azure

Podaj szczegóły subskrypcji platformy Azure w pliku aksedge-config.json w Arc sekcji zgodnie z opisem w poniższej tabeli. Aby pomyślnie nawiązać połączenie z Azure przy użyciu klastra Kubernetes z obsługą Azure Arc, potrzebujesz zasady usługi z wbudowanym Microsoft.Kubernetes connected cluster role, aby uzyskać dostęp do zasobów na Azure. Jeśli masz już identyfikator jednostki usługi i hasło, w pliku aksedge-config.json możesz zaktualizować wszystkie pola. Jeśli musisz utworzyć główny obiekt usługi, możesz postępować według kroków tutaj.

Ważne

Wpisy tajne klienta są formą hasła. Właściwe zarządzanie ma kluczowe znaczenie dla bezpieczeństwa środowiska.

  • Podczas tworzenia tajemnicy klienta ustaw bardzo krótki okres ważności, w oparciu o czas rejestracji i zakres wdrożenia.
  • Pamiętaj, aby chronić tajną wartość klienta i plik konfiguracyjny przed ogólnym dostępem.
  • Należy wziąć pod uwagę, że jeśli plik konfiguracji klastra jest tworzony jako kopia zapasowa, podczas gdy zawiera on sekret klienta, to sekret klienta jest dostępny dla każdej osoby z dostępem do tej kopii.
  • Po zarejestrowaniu klastra usuń klucz tajny klienta z pliku konfiguracji dla tego klastra.
  • Po zarejestrowaniu wszystkich klastrów w zakresie zadania należy zmienić klucz tajny klienta oraz/lub usunąć jednostkę usługi ze środowiska Microsoft Entra ID.
Atrybut Typ wartości opis
ClusterName string Nazwa klastra. Domyślna wartość to hostname_cluster.
Location string Lokalizacja grupy zasobów. Wybierz lokalizację znajdującą się najbliżej wdrożenia.
SubscriptionId Identyfikator GUID Identyfikator subskrypcji. W witrynie Azure Portal wybierz używaną subskrypcję i skopiuj/wklej ciąg identyfikatora subskrypcji do formatu JSON.
TenantId Identyfikator GUID Identyfikator najemcy. W portalu Azure wyszukaj Microsoft Entra ID, co powinno przenieść cię na stronę Domyślny katalog. W tym miejscu możesz skopiować/wkleić ciąg identyfikatora dzierżawy do pliku JSON.
ResourceGroupName string Nazwa grupy zasobów platformy Azure do hostowania zasobów platformy Azure dla usługi AKS Edge Essentials. Możesz użyć istniejącej grupy zasobów lub jeśli dodasz nową nazwę, system utworzy dla Ciebie.
ClientId Identyfikator GUID Podaj identyfikator aplikacji jednostki usługi platformy Azure do celów uwierzytelniania. Usługa AKS Edge Essentials używa tego głównego punktu usługi do połączenia klastra z Arc. Możesz użyć strony Rejestrowanie aplikacji w zasobie Microsoft Entra na portalu Azure, aby wyświetlić i zarządzać głównymi punktami usługi w dzierżawie. Należy pamiętać, że jednostka usługi wymaga roli Klastra Kubernetes — dołączania usługi Azure Arc na poziomie subskrypcji lub grupy zasobów. Aby uzyskać więcej informacji, zobacz Microsoft Entra identity requirements for service principals (Wymagania dotyczące tożsamości firmy Microsoft dla jednostek usługi).
ClientSecret string Hasło dla usługi głównej.

Uwaga

Tę konfigurację należy wykonać tylko raz na subskrypcję platformy Azure. Nie trzeba powtarzać procedury dla każdego klastra Kubernetes.

Krok 3. Łączenie klastra z usługą Arc

Uruchom Connect-AksEdgeArc , aby zainstalować istniejący klaster i połączyć go z Kubernetes z obsługą Arc:

# Connect Arc-enabled kubernetes
Connect-AksEdgeArc -JsonConfigFilePath .\aksedge-config.json

Uwaga

Ten krok może potrwać do 10 minut, a program PowerShell może zostać zablokowany podczas ustanawiania połączenia Azure Connected Kubernetes dla your cluster name. Program PowerShell generuje dane wyjściowe True i wraca do wiersza poleceń po zakończeniu procesu.

Zrzut ekranu przedstawiający monit programu PowerShell podczas nawiązywania połączenia z usługą Arc.

Krok 4. Wyświetlanie zasobów usługi AKS Edge Essentials na platformie Azure

  1. Po zakończeniu procesu możesz wyświetlić klaster w witrynie Azure Portal, jeśli przejdziesz do grupy zasobów:

    Zrzut ekranu przedstawiający klaster w witrynie Azure Portal.

  2. Na lewym panelu wybierz Namespaces w obszarze Zasoby Kubernetes (wersja zapoznawcza):

    Wersja zapoznawcza zasobów platformy Kubernetes.

  3. Aby wyświetlić zasoby platformy Kubernetes, potrzebujesz tokenu elementu nośnego.

    Zrzut ekranu przedstawiający stronę wymaganą do uzyskania tokenu uwierzytelniającego.

  4. Możesz również uruchomić polecenie Get-AksEdgeManagedServiceToken , aby pobrać token usługi.

    Zrzut ekranu przedstawiający miejsce wklejania tokenu w portalu.

  5. Teraz możesz wyświetlić zasoby w klastrze. Opcja Workload pokazuje zasobniki uruchomione w twoim klastrze.

    kubectl get pods --all-namespaces

    Zrzut ekranu przedstawiający wszystkie zasobniki w Arc.

Odłączanie od usługi Arc

Uruchom Disconnect-AksEdgeArc , aby odłączyć się od Arc-enabled Kubernetes.

# Disconnect Arc-enabled kubernetes
Disconnect-AksEdgeArc -JsonConfigFilePath .\aksedge-config.json

Następne kroki