Démarrage rapide : créer une connexion de service dans un cluster AKS avec Azure CLI

Ce démarrage rapide vous montre comment connecter Azure Kubernetes Service (AKS) à d’autres ressources cloud à l’aide d’Azure CLI et du connecteur de services. Service Connector vous permet de connecter rapidement des services de calcul aux services cloud, tout en gérant les paramètres d’authentification et de mise en réseau de votre connexion.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de commencer.

Prérequis

• Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.

  

• Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.

  • Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.

  • Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.

  • Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.

• La version 2.30.0 ou ultérieure d’Azure CLI est exigée pour ce guide de démarrage rapide. Si vous utilisez Azure Cloud Shell, la version la plus récente est déjà installée.
• Ce démarrage rapide suppose que vous disposez déjà d’un cluster AKS. Si vous n’en avez pas, créez un cluster AKS.
• Ce démarrage rapide part du principe que vous disposez déjà d’un compte stockage Azure. Si vous n’en avez pas encore, créez un compte de stockage Azure.

Configuration initiale

1. Si vous utilisez Service Connector pour la première fois, commencez par exécuter la commande az provider register pour inscrire les fournisseurs de ressources Service Connector et Kubernetes Configuration.

   az provider register -n Microsoft.ServiceLinker
   

   az provider register -n Microsoft.KubernetesConfiguration
   

   Conseil

   Vous pouvez vérifier si les fournisseurs de ressources ont déjà été inscrits en exécutant les commandes az provider show -n "Microsoft.ServiceLinker" --query registrationState et az provider show -n "Microsoft.KubernetesConfiguration" --query registrationState.

2. Si vous le souhaitez, utilisez la commande Azure CLI pour obtenir la liste des services cibles pris en charge pour le cluster AKS.

   az aks connection list-support-types --output table
   

Créer une connexion de service

Utilisation d’une identité de charge de travail

Important

Pour utiliser une identité managée, vous devez être autorisé à attribuer des rôles Microsoft Entra ID. Sans l’autorisation, la création de votre connexion échouera. Vous pouvez demander à votre propriétaire d’abonnement l’autorisation ou utiliser une clé d’accès pour créer la connexion.

Utilisez la commande Azure CLI pour créer une connexion de service à un stockage Blob avec une identité de charge de travail, en spécifiant les informations suivantes :

• Nom du groupe de ressources du service de calcul source : le nom du groupe de ressources du cluster AKS.
• Nom du cluster AKS : le nom de votre cluster AKS qui se connecte au service cible.
• Nom du groupe de ressources du service cible : nom du groupe de ressources du Stockage Blob.
• Nom du compte de stockage : nom du compte du stockage d’objets blob.
• ID de ressource d’identité affectée par l’utilisateur : l’ID de ressource de l’identité affectée par l’utilisateur utilisée pour créer une identité de charge de travail

az aks connection create storage-blob \
    --workload-identity <user-identity-resource-id>

Remarque

Si vous ne disposez pas d’un stockage Blob, vous pouvez exécuter az aks connection create storage-blob --new --workload-identity <user-identity-resource-id>" pour en approvisionner un nouveau et vous connecter directement à votre application de fonction.

Utilisation d’une clé d’accès

Avertissement

Microsoft vous recommande d’utiliser le flux d’authentification le plus sécurisé disponible. Le flux d'authentification décrit dans cette procédure demande un degré de confiance très élevé dans l'application et comporte des risques qui ne sont pas présents dans d'autres flux. Vous ne devez utiliser ce flux que si d’autres flux plus sécurisés, tels que les identités managées, ne sont pas viables.

Exécutez la commande Azure CLI suivante pour créer une connexion de service à un stockage Blob Azure avec une clé d’accès, en spécifiant les informations suivantes.

az aks connection create storage-blob --secret

Fournissez les informations suivantes sur demande :

• Nom du groupe de ressources du service de calcul source : nom du groupe de ressources du cluster AKS.
• Nom du cluster AKS : le nom de votre cluster AKS qui se connecte au service cible.
• Nom du groupe de ressources du service cible : nom du groupe de ressources du Stockage Blob.
• Nom du compte de stockage : nom du compte du stockage d’objets blob.

Remarque

Si vous ne disposez pas d’un stockage Blob, vous pouvez exécuter az aks connection create storage-blob --new --secret pour en approvisionner un nouveau et le connecter à votre instance cluster AKS.

Afficher les connexions

Utilisez la commande Azure CLI az aks connection list pour répertorier les connexions à votre cluster AKS, en fournissant les informations suivantes :

• Nom du groupe de ressources du service de calcul source : le nom du groupe de ressources du cluster AKS.
• Nom du cluster AKS : le nom de votre cluster AKS qui se connecte au service cible.

az aks connection list \
    -g "<your-aks-cluster-resource-group>" \
    -n "<your-aks-cluster-name>" \
    --output table

Étapes suivantes

Accédez aux didacticiels suivants pour commencer à connecter un cluster AKS aux services Azure avec le connecteur de services.

Tutoriel : se connecter à Azure Key Vault à l’aide du pilote CSI

Tutoriel : se connecter au stockage Azure à l’aide de l’identité de charge de travail