Verificare la connessione al registro contenitori
Questo articolo fa parte di una serie. Iniziare con la panoramica.
Per distribuire correttamente le applicazioni in contenitori nel cluster del servizio Azure Kubernetes servizio Azure Kubernetes, è essenziale verificare la connettività tra il cluster e il registro contenitori. Questo passaggio garantisce che i nodi di lavoro dispongano delle autorizzazioni necessarie per eseguire il pull delle immagini del contenitore necessarie dal registro.
Identificare i sintomi
Quando il kubelet eseguito in un nodo agente crea i contenitori per un pod, uno o più contenitori potrebbero terminare nello stato di attesa a causa dell'errore ImagePullBackOff . ImagePullBackoff è un messaggio di errore comune in Kubernetes che indica un errore durante il pull dell'immagine del contenitore richiesta da un registro pubblico o privato. Diversi fattori possono causare questo errore, tra cui problemi di connettività di rete, un nome o un tag di immagine non corretti, autorizzazioni insufficienti o credenziali mancanti.
La BackOff parte dello stato indica che Kubernetes tenta continuamente di eseguire il pull dell'immagine con un ritardo crescente tra ogni tentativo successivo. Il ritardo aumenta gradualmente fino a raggiungere un limite predeterminato, in genere impostato su 300 secondi (5 minuti) in Kubernetes.
È importante controllare il registro e il nome dell'immagine per verificare l'accuratezza. Assicurarsi inoltre che il cluster del servizio Azure Kubernetes disponga delle autorizzazioni necessarie per eseguire il pull delle immagini dal registro contenitori appropriato.
Assegnazioni di ruolo
Quando si collega un registro contenitori a un cluster del servizio Azure Kubernetes esistente, il ruolo AcrPull viene assegnato automaticamente nel Registro di sistema all'identità gestita di Microsoft Entra associata ai pool di agenti nel cluster del servizio Azure Kubernetes. Per altre informazioni, vedere Eseguire l'autenticazione con registro contenitori dal servizio Azure Kubernetes.
Eseguire il comando seguente per recuperare l'identità gestita kubelet di un cluster Kubernetes e le relative assegnazioni di ruolo correnti:
# Get the kubelet managed identity.
ASSIGNEE=$(az aks show -g $RESOURCE_GROUP -n $NAME --query identityProfile.kubeletidentity.clientId -o tsv)
az role assignment list --assignee $ASSIGNEE --all -o table
Eseguire il comando seguente per assegnare il AcrPull ruolo all'identità gestita kubelet:
AZURE_CONTAINER_REGISTRY_ID=$(az acr show --name <container-registry-name> --query id --output tsv)
az role assignment create --assignee $ASSIGNEE --scope $AZURE_CONTAINER_REGISTRY_ID --role acrpull
Risolvere i problemi del Registro Container
Le sezioni seguenti forniscono guide che è possibile fare riferimento a se si verificano problemi di rete, accesso o prestazioni con un registro Azure Container.
Risolvere i problemi di rete
Se si verificano problemi relativi all'accesso a un Registro Azure Container in una rete virtuale o dietro un firewall o un server proxy, prendere in considerazione le soluzioni seguenti:
- Configurare l'accesso al firewall client.
- Configurare l'accesso pubblico al Registro di sistema.
- Configurare l'accesso alla rete virtuale.
- Configurare l'accesso per i servizi.
Risolvere i problemi di accesso
Se si verificano problemi di autenticazione e autorizzazione quando si accede a un registro Azure Container, prendere in considerazione le soluzioni seguenti:
- Controllare la configurazione di Docker nell'ambiente in uso.
- Specificare il nome corretto del Registro di sistema.
- Verificare le credenziali per accedere al Registro di sistema.
- Configurare l'accesso pubblico al Registro di sistema.
- Risolvere i problemi di accesso al Registro di sistema.
- Verificare che le credenziali non siano scadute.
Risolvere i problemi di prestazioni
Se si verificano problemi di prestazioni con un registro Azure Container, prendere in considerazione le soluzioni seguenti:
- Abilitare la cache degli artefatti.
- Controllare la velocità di connessione di rete.
- Esaminare l'hardware client che potrebbe influire sulla compressione del livello immagine o sulla velocità di estrazione.
- Esaminare i limiti configurati nel livello di servizio o nell'ambiente del Registro di sistema.
- Configurare il Registro di sistema con replica geografica per ottenere prestazioni ottimali con le repliche nelle aree vicine.
- Ottimizzare la configurazione DNS per il pull da una replica del Registro di sistema geograficamente distante.
Queste guide consentono di garantire un recupero uniforme delle immagini per il cluster del servizio Azure Kubernetes e garantire un corretto funzionamento dei carichi di lavoro.
Integrare un registro contenitori di terze parti
Quando si usa un registro contenitori di terze parti, è necessario creare le credenziali appropriate ImagePullSecret per il registro in modo che il cluster del servizio Azure Kubernetes possa accedere in modo sicuro alle immagini del contenitore. Per altre informazioni, vedere Creare un segreto pull di immagini. Assicurarsi di configurare le autorizzazioni e le credenziali corrette in modo da poter verificare la connessione al registro contenitori e abilitare il cluster del servizio Azure Kubernetes per eseguire correttamente il pull delle immagini del contenitore necessarie durante le distribuzioni. Questa procedura consigliata consente di garantire un'esecuzione uniforme e affidabile dei carichi di lavoro in contenitori in Kubernetes.
Collaboratori
Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.
Autori principali:
- Paolo Salvatori | Principal Customer Engineer
- Francesco Simy Nazareth | Senior Technical Specialist
Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.