Поделиться через

Подключение кластера AKS Edge Essentials к Arc

  • Статья

В этой статье описывается, как подключить кластер AKS Edge Essentials к Azure Arc, чтобы отслеживать работоспособность кластера в портал Azure. Если кластер подключен к прокси-серверу, можно использовать скрипты, предоставленные в репозитории GitHub, для подключения кластера к Arc , как описано здесь.

Внимание

Начиная с выпуска AKS Edge Essentials 1.10.868.0 требуется раздел Arc файла конфигурации. Подключение Azure Arc происходит автоматически после запуска New-AksEdgeDeployment для развертывания кластера AKS Edge Essentials.

Предварительные условия

  • Перед подключением к Arc администраторы инфраструктуры, являющиеся владельцем или участником подписки, должны:
    1. Включите все необходимые поставщики ресурсов в подписке Azure, такие как Microsoft.HybridCompute, Microsoft.GuestConfiguration, Microsoft.HybridConnectivity, Microsoft.Kubernetes, Microsoft.ExtendedLocation и Microsoft.KubernetesConfiguration.
    2. Создайте и проверьте группу ресурсов для ресурсов AKS Edge Essentials Azure.
  • Чтобы подключиться к Arc, операторам Kubernetes требуется роль Kubernetes Cluster - Azure Arc Onboarding для идентификации на уровне группы ресурсов. Чтобы отключиться от Arc, операторам требуется роль участника Arc службы Azure Kubernetes для удостоверения на уровне группы ресурсов. Чтобы проверить уровень доступа, перейдите к подписке на портал Azure, выберите элемент управления доступом (IAM) слева и выберите "Просмотреть мой доступ". См. документацию Azure для получения дополнительной информации об управлении группами ресурсов. Администраторы инфраструктуры с ролями владельца или участника также могут выполнять действия для подключения или отключения от Arc.
  • В дополнение к этим предварительным требованиям убедитесь, что выполнены все требования к сети для Kubernetes с поддержкой Azure Arc.

Примечание.

Вам нужна роль Contributor, чтобы иметь возможность удалять ресурсы в группе ресурсов. Команды на отключение от Arc завершатся сбоем без назначения этой роли.

Шаг 1. Настройка компьютера

Установка зависимостей

Выполните следующие команды в окне PowerShell с повышенными привилегиями, чтобы установить зависимости в PowerShell:

Install-Module Az.Resources -Repository PSGallery -Force -AllowClobber -ErrorAction Stop  
Install-Module Az.Accounts -Repository PSGallery -Force -AllowClobber -ErrorAction Stop 
Install-Module Az.ConnectedKubernetes -Repository PSGallery -Force -AllowClobber -ErrorAction Stop

Шаг 2. Настройка среды Azure

Укажите сведения о подписке Azure в файле aksedge-config.json в Arc разделе, как описано в следующей таблице. Чтобы успешно подключиться к Azure с использованием Kubernetes с поддержкой Azure Arc, вам потребуется служебный принципал с встроенным Microsoft.Kubernetes connected cluster role, чтобы получить доступ к ресурсам на платформе Azure. Если у вас уже есть идентификатор субъекта-службы и пароль, можно обновить все поля в файле aksedge-config.json . Если вам нужно создать учетную запись службы, следуйте инструкциям по этой ссылке.

Внимание

Секреты клиента — это форма пароля. Правильное управление крайне важно для безопасности вашей среды.

  • При создании секрета клиента задайте очень короткое время окончания срока действия на основе времени регистрации и области развертывания.
  • Не забудьте защитить значение секрета клиента и файл конфигурации от общего доступа.
  • Учитывайте, что если файл конфигурации кластера резервируется во время хранения секрета клиента, секрет клиента доступен любому пользователю с доступом к резервной копии.
  • После регистрации кластера удалите секрет клиента из файла конфигурации для этого кластера.
  • После регистрации всех кластеров в области задачи необходимо сменить секрет клиента и (или) удалить учетную запись службы из среды Microsoft Entra ID.
Атрибут Тип значения Описание
ClusterName строка Имя вашего кластера. Значение по умолчанию — hostname_cluster.
Location строка Расположение группы ресурсов. Выберите расположение, ближайшее к развертыванию.
SubscriptionId GUID Идентификатор подписки. В портал Azure выберите используемую подписку и скопируйте и вставьте строку идентификатора подписки в JSON.
TenantId GUID Идентификатор клиента. В портале Azure выполните поиск Microsoft Entra ID, что приведет вас на страницу Каталога по умолчанию. Здесь можно скопировать и вставить строку идентификатора клиента в JSON.
ResourceGroupName строка Название группы ресурсов Azure для размещения ваших ресурсов Azure для AKS Edge Essentials. Вы можете использовать существующую группу ресурсов или добавить новое имя, система создает ее для вас.
ClientId GUID Укажите идентификатор приложения субъекта-службы Azure для использования в качестве учетных данных. AKS Edge Essentials использует эту учетную запись службы для подключения вашего кластера к Arc. Вы можете использовать страницу Регистрации приложений на странице ресурсов Microsoft Entra в портале Azure, чтобы перечислить и управлять учетными записями служб в арендаторе. Помните, что субъект-служба требует роли подключения Kubernetes — Azure Arc на уровне подписки или группы ресурсов. Дополнительные сведения см. в разделе "Требования к удостоверениям Microsoft Entra" для субъектов-служб.
ClientSecret строка Пароль для основной учетной записи службы.

Примечание.

Эту конфигурацию необходимо выполнить только один раз для каждой подписки Azure. Вам не нужно повторять процедуру для каждого кластера Kubernetes.

Шаг 3. Подключение кластера к Arc

Запустите Connect-AksEdgeArc , чтобы установить и подключить существующий кластер к Kubernetes с поддержкой Arc:

# Connect Arc-enabled kubernetes
Connect-AksEdgeArc -JsonConfigFilePath .\aksedge-config.json

Примечание.

Этот шаг может занять до 10 минут, и PowerShell может застрять на настройке подключенного к Azure Kubernetes для your cluster name. PowerShell выводит True и возвращается к командной строке после завершения процесса.

Снимок экрана: запрос PowerShell при подключении к Arc.

Шаг 4. Просмотр ресурсов AKS Edge Essentials в Azure

  1. После завершения процесса вы можете просмотреть кластер в портал Azure, если перейдите к группе ресурсов:

    Снимок экрана, показывающий кластер в портале Azure.

  2. На левой панели выберите параметр "Пространства имен" в разделе ресурсы Kubernetes (предварительная версия):

    Предварительная версия ресурсов Kubernetes.

  3. Чтобы просмотреть ресурсы Kubernetes, вам потребуется маркер носителя.

    Снимок экрана, на котором показана страница, требующая bearer token.

  4. Вы также можете запустить Get-AksEdgeManagedServiceToken для получения токена службы.

    Снимок экрана с местом, куда вставить токен на портале.

  5. Теперь вы можете просматривать ресурсы в кластере. В опции "Рабочие нагрузки" отображаются поды, которые работают в вашем кластере.

    kubectl get pods --all-namespaces

    Снимок экрана, показывающий все pod в Arc.

Отключение от Arc

Выполните Disconnect-AksEdgeArc, чтобы отключиться от Kubernetes с поддержкой Arc.

# Disconnect Arc-enabled kubernetes
Disconnect-AksEdgeArc -JsonConfigFilePath .\aksedge-config.json

Следующие шаги