Nejčastější dotazy – Kubernetes s podporou Azure Arc a GitOps
Tento článek se zabývá nejčastějšími dotazy k Kubernetes a GitOps s podporou Azure Arc.
Jaký je rozdíl mezi Kubernetes s podporou Azure Arc a službou Azure Kubernetes Service (AKS)?
AKS je spravovaná nabídka Kubernetes v Azure. AKS zjednodušuje nasazení spravovaného clusteru Kubernetes v Azure tím, že přesměruje velkou část složitosti a provozní režie do Azure. Vzhledem k tomu, že hlavní servery Kubernetes spravuje Azure, spravujete a udržujete pouze uzly agenta.
Kubernetes s podporou Azure Arc umožňuje rozšířit možnosti správy Azure (jako je Azure Monitor a Azure Policy) připojením clusterů Kubernetes k Azure. Udržujete samotný základní cluster Kubernetes.
Musím připojit clustery AKS spuštěné v Azure ke službě Azure Arc?
Ve většině scénářů se v současné době připojení clusteru Azure Kubernetes Service (AKS) ke službě Azure Arc nevyžaduje. Možná budete chtít připojit cluster ke spouštění určitých služeb s podporou Azure Arc, jako jsou App Services a Datové služby nad clusterem. Můžete to provést pomocí funkce vlastních umístění Kubernetes s podporou Azure Arc.
Mám ke službě Azure Stack Edge připojit cluster AKS-HCI a clustery Kubernetes?
Připojení clusteru AKS-HCI nebo clusterů Kubernetes ve službě Azure Stack Edge k Azure Arc poskytuje clustery se reprezentací prostředků v Azure Resource Manageru. Tato reprezentace prostředků rozšiřuje možnosti, jako je Konfigurace clusteru, Azure Monitor a Azure Policy (Gatekeeper) do připojených clusterů Kubernetes.
Pokud je cluster Kubernetes s podporou Služby Azure Arc ve službě Azure Stack Edge, AKS v Azure Stack HCI (>= aktualizace z dubna 2021) nebo AKS ve Windows Serveru 2019 Datacenter (>= aktualizace z dubna 2021), konfigurace Kubernetes se započítá bez poplatků.
Návody vypršení platnosti prostředků Kubernetes s podporou Služby Azure Arc?
Spravovanou identitu přiřazenou systémem přidruženou k clusteru Kubernetes s podporou Služby Azure Arc používají jenom agenti Azure Arc ke komunikaci se službami Azure Arc. Certifikát přidružený k této spravované identitě přiřazené systémem má časový interval vypršení platnosti 90 dnů a agenti se pokusí tento certifikát obnovit mezi 46. dnem 90. dne. Abyste se vyhnuli vypršení platnosti certifikátu spravované identity, ujistěte se, že cluster je online alespoň jednou mezi 46. dnem a 90. dnem, aby bylo možné certifikát obnovit.
Pokud vyprší platnost certifikátu spravované identity, prostředek se považuje za Expired prostředek a všechny funkce Azure Arc (například konfigurace, monitorování a zásady) přestanou na clusteru fungovat.
Pokud chcete zkontrolovat, kdy platnost certifikátu spravované identity vyprší pro daný cluster, spusťte následující příkaz:
az connectedk8s show -n <name> -g <resource-group>
Ve výstupu hodnota managedIdentityCertificateExpirationTime indikuje, kdy platnost certifikátu spravované identity vyprší (90D značka pro tento certifikát).
Pokud hodnota managedIdentityCertificateExpirationTime označuje časové razítko z minulosti, connectivityStatus bude pole ve výše uvedeném výstupu nastaveno na Expiredhodnotu . V takových případech znova získejte cluster Kubernetes se službou Azure Arc:
Odstraňte prostředek a agenty Kubernetes s podporou Služby Azure Arc v clusteru.
az connectedk8s delete -n <name> -g <resource-group>Znovu vytvořte prostředek Kubernetes s podporou Azure Arc nasazením agentů do clusteru.
az connectedk8s connect -n <name> -g <resource-group>
Poznámka:
az connectedk8s delete odstraní také konfigurace a rozšíření clusteru nad clusterem. Po spuštění az connectedk8s connectznovu vytvořte konfigurace a rozšíření clusteru v clusteru, a to buď ručně, nebo pomocí služby Azure Policy.
Pokud už používám kanály CI/CD, můžu stále používat konfigurace Kubernetes s podporou Azure Arc nebo AKS a GitOps?
Ano, v clusteru, který přijímá nasazení, můžete dál používat konfigurace prostřednictvím kanálu CI/CD. V porovnání s tradičními kanály CI/CD nabízejí konfigurace GitOps některé další výhody.
Vyrovnání posunu
Kanál CI/CD aplikuje změny pouze jednou během spuštění kanálu. Operátor GitOps v clusteru ale průběžně dotazuje úložiště Git, aby načítá požadovaný stav prostředků Kubernetes v clusteru. Pokud operátor GitOps najde požadovaný stav prostředků, který se má lišit od skutečného stavu prostředků v clusteru, tento posun se odsouhlasí.
Použití GitOps ve velkém měřítku
Kanály CI/CD jsou užitečné pro nasazení řízená událostmi do clusteru Kubernetes (například nasdílení změn do úložiště Git). Pokud ale chcete nasadit stejnou konfiguraci do všech clusterů Kubernetes, musíte pro kanál CI/CD ručně nakonfigurovat přihlašovací údaje každého clusteru Kubernetes.
Pro Kubernetes s podporou Azure Arc, protože Azure Resource Manager spravuje vaše konfigurace GitOps, můžete automatizovat vytváření stejné konfigurace napříč všemi prostředky Kubernetes a AKS s podporou Azure Arc pomocí Azure Policy v rámci předplatného nebo skupiny prostředků. Tato funkce se dá dokonce použít pro prostředky Kubernetes s podporou Azure Arc a AKS vytvořené po přiřazení zásad.
Tato funkce používá základní konfigurace (jako jsou zásady sítě, vazby rolí a zásady zabezpečení podů) v celém inventáři clusteru Kubernetes, aby splňovaly požadavky na dodržování předpisů a zásady správného řízení.
Dodržování předpisů clusteru
Stav dodržování předpisů každé konfigurace GitOps se hlásí zpět do Azure. Díky tomu můžete sledovat všechna neúspěšná nasazení.
Ukládá Kubernetes s podporou Azure Arc nějaká zákaznická data mimo oblast clusteru?
Funkce umožňující ukládání zákaznických dat v jedné oblasti je v současné době k dispozici pouze v oblasti Jihovýchodní Asie (Singapur) oblasti Asie a Tichomoří (Brazílie – jih ) (Sao Paulo State) v oblasti Brazílie Geo. Pro všechny ostatní oblasti se zákaznická data ukládají v příslušné geografické zóně. To platí pro rozšíření zprostředkovatele tajných kódů s podporou Služby Azure Arc s podporou Služby Azure Arc a Azure Key Vaultu pro Kubernetes. Další rozšíření clusteru najdete v dokumentaci, kde se dozvíte, jak ukládají zákaznická data. Další informace najdete v Centru zabezpečení.
Další kroky
- Projděte si náš rychlý start pro připojení clusteru Kubernetes ke službě Azure Arc.
- Už máte cluster AKS nebo cluster Kubernetes s podporou Služby Azure Arc? Vytvořte konfigurace GitOps v clusteru Kubernetes s podporou Služby Azure Arc.
- Zjistěte, jak nastavit kanál CI/CD pomocí GitOps.
- Naučte se používat Azure Policy k aplikování konfigurací ve velkém měřítku.
- Vyzkoušejte automatizované scénáře Kubernetes s podporou Služby Azure Arc pomocí jumpstartu Azure Arc.