Gestione e monitoraggio per Kubernetes abilitato per Azure Arc

Questo articolo fornisce considerazioni e consigli chiave sulla progettazione per la gestione e il monitoraggio dei cluster Kubernetes abilitati per Azure Arc che consentono di comprendere e progettare soluzioni per l'eccellenza operativa. Usare le indicazioni fornite in questo documento e in altre aree di progettazione critiche a cui si fa riferimento per comprendere meglio considerazioni e raccomandazioni relative alla progettazione.

Architettura

Per creare l'architettura corretta per l'organizzazione per eseguire l'onboarding di cluster Kubernetes locali o multicloud, è necessario comprendere l'architettura di Kubernetes abilitata per Azure Arc e le modalità di connettività di rete. Questa comprensione consente di implementare Azure Arc e gestire, monitorare e soddisfare sia gli standard dell'architettura dell'organizzazione che lo stato operativo desiderato.

Gestione dei cluster

Il diagramma dell'architettura seguente illustra diversi componenti Kubernetes abilitati per Azure Arc e come interagiscono quando un'organizzazione esegue l'onboarding e gestisce un cluster Kubernetes locale o multicloud in una modalità di connettività di rete completamente connessa.

Il diagramma seguente illustra l'accesso al cluster Kubernetes abilitato per Azure Arc da qualsiasi posizione e il modo in cui i componenti interagiscono tra loro per gestire i cluster usando il controllo degli accessi in base al ruolo di Azure.

Monitoraggio del cluster

Il diagramma dell'architettura seguente illustra il monitoraggio del cluster Kubernetes abilitato per Azure Arc in modalità di connettività di rete completamente connessa.

Considerazioni relative alla progettazione

• Esaminare l'area di progettazione di gestione delle zone di destinazione di Azure per valutare l'effetto di Kubernetes abilitato per Azure Arc nel modello di gestione complessivo.

Onboarding del cluster:

• Prendere in considerazione le raccomandazioni nell'area di progettazione critica dell'organizzazione delle risorse e nelle discipline di governance e sicurezza durante la progettazione di sottoscrizioni della zona di destinazione su scala aziendale per eseguire l'onboarding e la gestione dei cluster e delle estensioni di Kubernetes abilitati per Azure Arc.
• Decidere tra l'aggiornamento automatico e l'aggiornamento manuale degli agenti Kubernetes abilitati per Azure Arc a seconda del processo di gestione delle modifiche dell'organizzazione se si esegue l'onboarding di cluster Kubernetes locali o multicloud in Azure Arc. Se si riconsidera questa decisione in un secondo momento, è possibile modificare il comportamento di gestione dell'aggiornamento automatico degli agenti Kubernetes abilitati per Azure Arc in qualsiasi momento dopo l'onboarding del cluster.
• È consigliabile gestire le regole del firewall di rete abilitate per Azure Arc riducendo al minimo la gestione del firewall o del proxy e progettando gruppi di origine e di destinazione. Per altre informazioni, vedere le linee guida locali o multicloud per la gestione del firewall o del proxy dell'organizzazione.

Gestione cluster:

• Le estensioni Kubernetes abilitate per Azure Arc richiedono di consentire più URL nei firewall o nei server proxy. A seconda delle estensioni che si sta installando, pianificare in anticipo di ospitare URL aggiuntivi può aiutare a ridurre al minimo le sequenze temporali di gestione delle modifiche.
• Se si esegue l'onboarding di un cluster Kubernetes locale o multicloud con l'attivazione automatica dell'aggiornamento automatico, è consigliabile aggiornare regolarmente gli agenti Kubernetes abilitati per Azure Arc in modo che rimangano aggiornati con le versioni più recenti del prodotto e si evitano processi di aggiornamento costosi in futuro.
• Prendere in considerazione l'uso di GitOps per gestire gli aggiornamenti dell'agente e delle estensioni di Kubernetes abilitati per Arc e mantenere distribuzioni coerenti in tutti i cluster e gli ambienti. Per indicazioni dettagliate, vedere il flusso di lavoro CI/CD usando GitOps e le discipline della piattaforma critiche per la progettazione.
• È consigliabile usare la funzionalità di connessione del cluster Kubernetes abilitata per Azure Arc per connettersi a apiserver senza dover abilitare alcuna porta in ingresso nel firewall. Per comprendere il funzionamento di questa funzionalità, esaminare l'area di progettazione critica della connettività di rete.

Monitoraggio del cluster:

• Esaminare e considerare la configurazione supportata per Azure Monitor Container insights con Kubernetes abilitato per Azure Arc. Decidere se Azure Monitor Container insights soddisfa le esigenze dell'organizzazione per il monitoraggio del cluster Kubernetes abilitato per Azure Arc o meno.
• È consigliabile usare un'area di lavoro Log Analytics dedicata per ogni area per raccogliere log e metriche da cluster Kubernetes abilitati per Azure Arc e monitorare e segnalare più cluster in un ambiente specifico. Per altre informazioni, vedere Progettazione della distribuzione dei log di Monitoraggio di Azure.
• È consigliabile usare l'integrazione del connettore ITSM di Monitoraggio di Azure con gli strumenti di gestione dei servizi IT dell'organizzazione per generare avvisi di Monitoraggio di Azure e tenere traccia della risoluzione dei problemi.
• Se si usa la modalità di connettività di rete semi-connessa, è consigliabile usare endpoint privati per connettersi alle aree di lavoro di Azure Log Analytics tramite la connettività di Azure ExpressRoute o VPN in modo da raccogliere log e metriche dai cluster e dai monitoraggi abilitati per Azure Arc.

Suggerimenti per la progettazione

Onboarding del cluster:

• L'uso di server terminal di amministrazione condivisa per installare gli strumenti necessari consente di mantenere strumenti e versioni coerenti in tutti gli utenti e impedire problemi di distribuzione e gestione per il cluster Kubernetes abilitato per Azure Arc.
• Assicurarsi che i server terminal di amministrazione e i cluster Kubernetes locali o multicloud si trovino nell'elenco consenti di accedere agli URL necessari per Kubernetes abilitati per Azure Arc in modo da poter usare il piano di controllo Azure Arc per l'onboarding e la gestione.
• Creare uno script per verificare la connettività agli URL di Kubernetes abilitati per Azure Arc dall'ambiente locale o dai nodi del cluster Kubernetes multicloud. Questo script consente di ridurre al minimo la necessità di risolvere i problemi di connettività e risolvere i problemi di connettività.
• Creare uno script di distribuzione di onboarding usando PowerShell o Bash. Questo script consente di eseguire l'onboarding di cluster Kubernetes abilitati per Arc e installare estensioni del cluster per evitare problemi e distribuzioni coerenti in tutti gli ambienti e i cluster.

Gestione cluster:

• Alcune estensioni Kubernetes abilitate per Azure Arc richiedono percorsi personalizzati per distribuire pod e configurazioni dell'estensione. Per ogni spazio dei nomi Kubernetes è supportato un solo percorso personalizzato. È necessario creare ogni posizione personalizzata nello spazio dei nomi Kubernetes e distribuire un'estensione Kubernetes abilitata per Azure Arc che si basa sulla posizione personalizzata nello stesso spazio dei nomi.
• Usare il modello di connettività di rete completamente connesso per i cluster di onboarding. Se è necessario usare la modalità di connettività di rete semi-connessa, è necessario connettere i cluster ad Azure Arc almeno una volta ogni 30 giorni per esportare i dati di fatturazione e una volta mai 90 giorni per rinnovare i certificati di identità gestiti e aggiornare le risorse e gli agenti kubernetes abilitati per Azure Arc.
• Distribuire Open Service Mesh (OSM) per ottenere funzionalità come la sicurezza mTLS, il controllo degli accessi con granularità fine, il trasferimento del traffico, il monitoraggio con Monitoraggio di Azure open source o i componenti aggiuntivi di Prometheus e Grafana, la traccia con Jaeger e l'integrazione con soluzioni di gestione della certificazione esterne.

Monitoraggio del cluster:

• Raccogliere log e metriche usando Informazioni dettagliate su Azure Monitor Container per i cluster Kubernetes abilitati per Azure Arc. Usare questi log e metriche per creare dashboard e generare avvisi per i problemi correlati al cluster.
• Abilitare le regole di avviso delle metriche consigliate da Informazioni dettagliate sui contenitori per ricevere notifiche da Monitoraggio di Azure.
• Usare query di Azure Resource Graph o Log Analytics per monitorare l'integrità del cluster e generare avvisi.

Il diagramma seguente mostra Resource Graph di Azure usato per il monitoraggio dello stato:

Passaggi successivi

Per altre informazioni sul percorso cloud ibrido e multicloud, vedere gli articoli seguenti:

• Esaminare i prerequisiti per Kubernetes abilitato per Azure Arc.
• Esaminare le distribuzioni kubernetes convalidate per Kubernetes abilitate per Azure Arc.
• Informazioni su come gestire ambienti ibridi e multicloud.
• Informazioni sui requisiti di connettività di rete kubernetes abilitati per Azure Arc.
• Informazioni su come connettere un cluster Kubernetes esistente ad Azure Arc.
• Informazioni su come aggiornare gli agenti Kubernetes abilitati per Azure Arc.
• Informazioni su come usare Cluster Connect per connettersi ai cluster Kubernetes abilitati per Azure Arc per la gestione del cluster.
• Esperienza degli scenari automatizzati di Kubernetes abilitati per Azure Arc con Azure Arc Jumpstart.
• Informazioni su Azure Arc tramite il percorso di apprendimento di Azure Arc.
• Per trovare risposte alle domande più comuni, vedere Domande frequenti: Azure Arc abilitato per trovare le risposte alle domande più comuni.