Systeemvereisten voor AKS ingeschakeld door Azure Arc in Azure Stack HCI 22H2

Van toepassing op: Azure Stack HCI, versies 22H2; Windows Server 2022, Windows Server 2019

In dit artikel worden de vereisten beschreven voor het instellen van Azure Kubernetes Service (AKS) waarvoor Azure Arc is ingeschakeld. Zie het AKS-overzicht voor een overzicht van AKS ingeschakeld door Arc.

Hardwarevereisten

Microsoft raadt u aan een gevalideerde Hardware/software-oplossing voor Azure Stack HCI aan te schaffen bij onze partners. Deze oplossingen zijn ontworpen, samengesteld en gevalideerd om onze referentiearchitectuur uit te voeren en om de compatibiliteit en betrouwbaarheid te controleren, zodat u snel aan de slag kunt. Controleer of de systemen, onderdelen, apparaten en stuurprogramma's die u gebruikt, Windows Server gecertificeerd zijn volgens de Windows Server-catalogus. Zie de website van Azure Stack HCI-oplossingen voor gevalideerde oplossingen.

Belangrijk

De hostsystemen voor productie-implementaties moeten fysieke hardware zijn. Geneste virtualisatie, gekenmerkt als het implementeren van Azure Stack HCI of Windows Server op een virtuele machine en het installeren van AKS op die virtuele machine, wordt niet ondersteund.

Maximaal ondersteunde hardwarespecificaties

AKS op Azure Stack HCI- en Windows Server-implementaties die de volgende specificaties overschrijden, worden niet ondersteund:

Bron	Maximum
Fysieke servers per cluster	8 (Azure Stack HCI versie 22H2 en Windows Server)
Totaal aantal VM's	200

Rekenvereisten

Minimale geheugenvereisten

U kunt uw AKS-cluster op de volgende manier instellen om AKS uit te voeren op één knooppunt met Windows Server met beperkt RAM-geheugen:

Clustertype	VM-grootte van besturingsvlak	Werkknooppunt	Voor updatebewerkingen	Load balancer
AKS-host	Standard_A4_v2 VM-grootte = 8 GB	N.v.t. AKS-host heeft geen werkknooppunten.	8 GB	N.v.v. AKS-host maakt gebruik van kubevip voor taakverdeling.
Workloadcluster	Standard_A4_v2 VM-grootte = 8 GB	Standard_K8S3_v1 voor 1 werkknooppunt = 6 GB	Kan deze gereserveerde 8 GB opnieuw gebruiken voor de upgrade van het workloadcluster.	N.v.v. als kubevip wordt gebruikt voor taakverdeling (in plaats van de standaard HAProxy-load balancer).

Totale minimumvereiste: 30 GB RAM.

Deze minimale vereiste is voor een AKS-implementatie met één werkknooppunt voor het uitvoeren van toepassingen in containers. Als u werkknooppunten of een HAProxy-load balancer wilt toevoegen, verandert de uiteindelijke RAM-vereiste dienovereenkomstig.

Aanbevolen rekenvereisten

Omgeving	CPU-kernen per server	RAM
Azure Stack HCI	32	256 GB
Windows Server-failovercluster	32	256 GB
Windows Server met één knooppunt	16	128 GB

Voor een productieomgeving is de uiteindelijke grootte afhankelijk van de toepassing en het aantal werkknooppunten dat u wilt implementeren op het Azure Stack HCI- of Windows Server-cluster. Als u ervoor kiest om AKS uit te voeren op een Windows Server met één knooppunt, krijgt u geen functies zoals hoge beschikbaarheid die worden geleverd met het uitvoeren van AKS op een Azure Stack HCI- of Windows Server-cluster of Windows Server-failovercluster.

Andere rekenvereisten voor AKS in Azure Stack HCI en Windows Server zijn in overeenstemming met de Azure Stack HCI-vereisten. Zie De systeemvereisten van Azure Stack HCI voor meer informatie over azure Stack HCI-serververeisten.

U moet hetzelfde besturingssysteem installeren op elke server in het cluster. Als u Azure Stack HCI gebruikt, moeten hetzelfde besturingssysteem en dezelfde versie op elke server in het cluster staan. Als u Windows Server Datacenter gebruikt, moeten hetzelfde besturingssysteem en dezelfde versie zijn op elke server in het cluster. Elk besturingssysteem moet de en-us-regio en taalselecties gebruiken. U kunt deze instellingen niet wijzigen na de installatie.

Opslagvereisten

AKS op Azure Stack HCI en Windows Server ondersteunt de volgende opslag-implementaties:

Naam	Opslagtype	Vereiste capaciteit
Azure Stack HCI-cluster	Gedeelde clustervolumes	1 TB
Windows Server Datacenter-failovercluster	Gedeelde clustervolumes	1 TB
Windows Server Datacenter met één knooppunt	Direct gekoppelde opslag	500 GB

Voor een Azure Stack HCI- of Windows Server-cluster zijn er twee ondersteunde opslagconfiguraties voor het uitvoeren van workloads voor virtuele machines:

• Hybride opslag zorgt voor balans tussen prestaties en capaciteit met flashopslag en harde schijven (HDD's).
• All-flash-opslag maximaliseert de prestaties met SSD's (Solid-State Drives) of NVMe.

Systemen met alleen HDD-opslag worden niet ondersteund door Azure Stack HCI en worden daarom niet aanbevolen voor het uitvoeren van AKS op Azure Stack HCI en Windows Server. Zie de Documentatie voor Azure Stack HCI voor meer informatie over de aanbevolen stationsconfiguraties. Alle systemen die in de Azure Stack HCI-catalogus worden gevalideerd, vallen in een van deze twee ondersteunde opslagconfiguraties.

Kubernetes gebruikt etcd om de status van de clusters op te slaan. Etcd slaat de configuratie, specificaties en status van actieve pods op. Bovendien maakt Kubernetes gebruik van het archief voor servicedetectie. Als een coördinerend onderdeel voor de werking van Kubernetes en de workloads die het ondersteunt, zijn latentie en doorvoer naar etcd essentieel. U moet AKS uitvoeren op een SSD. Zie Prestaties op etcd.io voor meer informatie.

Voor een Windows Server Datacenter-cluster kunt u implementeren met lokale opslag of san-opslag. Voor lokale opslag is het raadzaam om de ingebouwde Opslagruimten Direct of een equivalente gecertificeerde virtuele SAN-oplossing te gebruiken om een hypergeconvergeerde infrastructuur te maken die gedeelde clustervolumes presenteert voor gebruik door workloads. Voor Opslagruimten Direct is het vereist dat uw opslag hybride (flash + HDD) is die de prestaties en capaciteit in balans brengt, of all-flash (SSD, NVMe) waarmee de prestaties worden gemaximaliseerd. Als u ervoor kiest om te implementeren met opslag op basis van SAN, moet u ervoor zorgen dat uw SAN-opslag voldoende prestaties kan leveren om verschillende workloads van virtuele machines uit te voeren. Oudere SAN-opslag op basis van HDD levert mogelijk niet de vereiste prestatieniveaus om meerdere workloads van virtuele machines uit te voeren. Mogelijk ziet u prestatieproblemen en time-outs.

Voor Windows Server-implementaties met één knooppunt met behulp van lokale opslag wordt het gebruik van all-flashopslag (SSD, NVMe) ten zeerste aanbevolen om de vereiste prestaties te leveren voor het hosten van meerdere virtuele machines op één fysieke host. Zonder flashopslag kunnen de lagere prestatieniveaus op HDD's implementatieproblemen en time-outs veroorzaken.

Vereisten voor netwerkfirewall

De volgende vereisten zijn van toepassing op een Azure Stack HCI 22H2-cluster en een Windows Server Datacenter-cluster. Zie Netwerkvereisten voor netwerkvereisten in Azure Stack HCI 23H2.

• Controleer voor Azure Stack HCI 22H2 en Windows Server of u een bestaande, externe virtuele switch hebt geconfigureerd als u Windows Admin Center gebruikt. Voor HCI- of Windows Server-clusters moet deze switch en de naam hetzelfde zijn voor alle clusterknooppunten. Zie de netwerksysteemvereisten voor HCI 23H2.
• Controleer of u IPv6 hebt uitgeschakeld op alle netwerkadapters.
• Voor een geslaagde implementatie moeten de Azure Stack HCI- of Windows Server-clusterknooppunten en de Kubernetes-cluster-VM's een externe internetverbinding hebben.
• Zorg ervoor dat alle subnetten die u voor het cluster definieert, routeerbaar zijn tussen elkaar en internet.
• Zorg ervoor dat er netwerkconnectiviteit is tussen Azure Stack HCI-hosts en de tenant-VM's.
• DNS-naamomzetting is vereist voor alle knooppunten om met elkaar te kunnen communiceren.
• (Aanbevolen) Schakel dynamische DNS-updates in uw DNS-omgeving in zodat AKS de algemene clusternaam van de cloudagent kan registreren in het DNS-systeem voor detectie.

IP-adrestoewijzing

In AKS waarvoor Arc is ingeschakeld, worden virtuele netwerken gebruikt om IP-adressen toe te wijzen aan de Kubernetes-resources waarvoor ze zijn vereist, zoals eerder vermeld. Er zijn twee netwerkmodellen waaruit u kunt kiezen, afhankelijk van uw gewenste AKS-netwerkarchitectuur.

Notitie

De hier gedefinieerde architectuur voor virtuele netwerken voor uw AKS-implementaties verschilt van de onderliggende fysieke netwerkarchitectuur in uw datacenter.

• Statisch IP-netwerk: het virtuele netwerk wijst statische IP-adressen toe aan de Kubernetes-cluster-API-server, Kubernetes-knooppunten, onderliggende VM's, load balancers en eventuele Kubernetes-services die u boven op uw cluster uitvoert.
• DHCP-netwerken: het virtuele netwerk wijst dynamische IP-adressen toe aan de Kubernetes-knooppunten, onderliggende VM's en load balancers met behulp van een DHCP-server. De Kubernetes-cluster-API-server en eventuele Kubernetes-services die u boven op uw cluster uitvoert, worden nog steeds statische IP-adressen toegewezen.

Minimale IP-adresreservering

U moet minimaal het volgende aantal IP-adressen reserveren voor uw implementatie:

Clustertype	Knooppunt besturingsvlak	Werkknooppunt	Voor updatebewerkingen	Load balancer
AKS-host	1 IP	N.v.t.	2 IP	N.v.t.
Workloadcluster	1 IP per knooppunt	1 IP per knooppunt	5 IP	1 IP

Daarnaast moet u het volgende aantal IP-adressen reserveren voor uw VIP-groep:

Brontype	Aantal IP-adressen
Cluster-API-server	1 per cluster
Kubernetes-services	1 per service

Zoals u kunt zien, is het aantal vereiste IP-adressen variabel, afhankelijk van de AKS-architectuur en het aantal services dat u uitvoert op uw Kubernetes-cluster. Het is raadzaam om in totaal 256 IP-adressen (/24 subnet) voor uw implementatie te reserveren.

Zie concepten voor knooppuntnetwerken in AKS en concepten voor containernetwerken in AKS voor meer informatie over netwerkvereisten.

Vereisten voor netwerkpoort en URL

AKS ingeschakeld door Arc-vereisten

Bij het maken van een Kubernetes-cluster in Azure Stack HCI worden de volgende firewallpoorten automatisch geopend op elke server in het cluster.

Als de fysieke Azure Stack HCI-clusterknooppunten en de Azure Kubernetes-cluster-VM's zich op twee geïsoleerde vlan's bevinden, moeten deze poorten worden geopend bij de firewall:

Poort	Source	Beschrijving	Firewallnotities
22	AKS-VM's	Vereist voor het verzamelen van logboeken bij gebruik Get-AksHciLogs.	Als u afzonderlijke VLAN's gebruikt, moeten de fysieke Hyper-V-hosts toegang hebben tot de AKS-VM's op deze poort.
6443	AKS-VM's	Vereist voor communicatie met Kubernetes-API's.	Als u afzonderlijke VLAN's gebruikt, moeten de fysieke Hyper-V-hosts toegang hebben tot de AKS-VM's op deze poort.
45000	Fysieke Hyper-V-hosts	wssdAgent gRPC-server.	Er zijn geen regels voor meerdere VLAN's nodig.
45001	Fysieke Hyper-V-hosts	wssdAgent gRPC-verificatie.	Er zijn geen regels voor meerdere VLAN's nodig.
46000	AKS-VM's	wssdCloudAgent naar lbagent.	Als u afzonderlijke VLAN's gebruikt, moeten de fysieke Hyper-V-hosts toegang hebben tot de AKS-VM's op deze poort.
55000	Clusterresource (-CloudServiceCIDR)	Cloud Agent gRPC-server.	Als u afzonderlijke VLAN's gebruikt, moeten de AKS-VM's toegang hebben tot het IP-adres van de clusterresource op deze poort.
65000	Clusterresource (-CloudServiceCIDR)	Cloud Agent gRPC-verificatie.	Als u afzonderlijke VLAN's gebruikt, moeten de AKS-VM's toegang hebben tot het IP-adres van de clusterresource op deze poort.

Als voor uw netwerk het gebruik van een proxyserver is vereist om verbinding te maken met internet, raadpleegt u Proxyserverinstellingen gebruiken in AKS.

Tabel

De volgende URL's moeten worden toegevoegd aan uw acceptatielijst:

URL	Poort	Opmerkingen
msk8s.api.cdp.microsoft.com	443	Wordt gebruikt bij het downloaden van de AKS in de lokale productcatalogus van Azure, product bits en installatiekopieën van het besturingssysteem van SFS. Vindt plaats wanneer u wordt uitgevoerd Set-AksHciConfig en op elk gewenst moment dat u downloadt van SFS.
msk8s.b.tlu.dl.delivery.mp.microsoft.com msk8s.f.tlu.dl.delivery.mp.microsoft.com	80	Wordt gebruikt bij het downloaden van de AKS in de lokale productcatalogus van Azure, product bits en installatiekopieën van het besturingssysteem van SFS. Vindt plaats wanneer u wordt uitgevoerd Set-AksHciConfig en op elk gewenst moment dat u downloadt van SFS.
login.microsoftonline.com login.windows.net management.azure.com msft.sts.microsoft.com graph.windows.net	443	Wordt gebruikt voor het aanmelden bij Azure bij het uitvoeren Set-AksHciRegistration.
ecpacr.azurecr.io mcr.microsoft.com *.mcr.microsoft.com *.data.mcr.microsoft.com *.blob.core.windows.net US-eindpunt: wus2replica*.blob.core.windows.net	443	Vereist voor het ophalen van containerinstallatiekopieën bij het uitvoeren Install-AksHci.
<region.dp.kubernetesconfiguration.azure.com>	443	Vereist voor het onboarden van hybride AKS-clusters naar Azure Arc.
gbl.his.arc.azure.com	443	Vereist om het regionale eindpunt op te halen voor het ophalen van door het systeem toegewezen beheerde identiteitscertificaten.
*.his.arc.azure.com	443	Vereist voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten.
k8connecthelm.azureedge.net	443	Kubernetes met Arc maakt gebruik van Helm 3 voor het implementeren van Azure Arc-agents op de AKS in het lokale beheercluster van Azure. Dit eindpunt is nodig voor het downloaden van de Helm-client om de implementatie van de helm-grafiek van de agent te vergemakkelijken.
*.arc.azure.net	443	Vereist voor het beheren van hybride AKS-clusters in Azure Portal.
dl.k8s.io	443	Vereist voor het downloaden en bijwerken van binaire Kubernetes-bestanden voor Azure Arc.
akshci.azurefd.net	443	Vereist voor AKS op lokale azure-facturering wanneer deze wordt uitgevoerd Install-AksHci.
v20.events.data.microsoft.com gcs.prod.monitoring.core.windows.net	443	Wordt periodiek gebruikt om vereiste diagnostische gegevens van Microsoft te verzenden vanaf de lokale Azure- of Windows Server-host.

Json

U kunt de acceptatielijst knippen en plakken voor firewall-URL-uitzonderingen:

[{
    "URL": "msk8s.api.cdp.microsoft.com",
    "Port": "443 ",
    "Notes": "Used when downloading the AKS on Azure Stack HCI product catalog, product bits, and OS images from SFS.Occurs when running `Set-AksHciConfig` and at any time you download from SFS."
}, {
    "URL": "msk8s.b.tlu.dl.delivery.mp.microsoft.com",
    "Port": "80",
    "Notes": "Used when downloading the AKS on Azure Stack HCI product catalog, product bits, and OS images from SFS. Occurs when running `Set-AksHciConfig` and at any time you download from SFS."
}, {
    "URL": "msk8s.f.tlu.dl.delivery.mp.microsoft.com",
    "Port": "80",
    "Notes": "Used when downloading the AKS on Azure Stack HCI product catalog, product bits, and OS images from SFS. Occurs when running `Set-AksHciConfig` and at any time you download from SFS."
}, {
    "URL": "login.microsoftonline.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "login.windows.net",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "management.azure.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "www.microsoft.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "msft.sts.microsoft.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "graph.windows.net",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "ecpacr.azurecr.io",
    "Port": "443",
    "Notes": "Required to pull container images when running `Install-AksHci`."
}, {
    "URL": "*.blob.core.windows.net  US endpoint: wus2replica*.blob.core.windows.net",
    "Port": "443",
    "Notes": "Required to pull container images when running `Install-AksHci`."
}, {
    "URL": "mcr.microsoft.com, *.mcr.microsoft.com",
    "Port": "443",
    "Notes": "Required to pull container images when running `Install-AksHci`."
}, {
    "URL": "akshci.azurefd.net",
    "Port": "443",
    "Notes": "Required for AKS on Azure Stack HCI billing when running `Install-AksHci`."
}, {
    "URL": "v20.events.data.microsoft.com",
    "Port": "443",
    "Notes": "Used periodically to send Microsoft required diagnostic data from the Azure Stack HCI or Windows Server host."
}, {
    "URL": "gcs.prod.monitoring.core.windows.net",
    "Port": "443",
    "Notes": "Used periodically to send Microsoft required diagnostic data from control plane nodes."
}]

Download de URL allowlist (json).

Notitie

AKS ingeschakeld door Arc slaat klantgegevens op en verwerkt deze. Klantgegevens blijven standaard binnen de regio waarin de klant het service-exemplaar implementeert. Deze gegevens worden opgeslagen in regionale door Microsoft beheerde datacenters. Voor regio's met vereisten voor gegevenslocatie worden klantgegevens altijd binnen dezelfde regio bewaard.

Aanvullende URL-vereisten voor Azure Arc-functies

In de vorige LIJST met URL's worden de minimaal vereiste URL's beschreven waarmee u uw AKS-service kunt verbinden met Azure voor facturering. U moet extra URL's toestaan als u clusterverbinding, aangepaste locaties, Azure RBAC en andere Azure-services zoals Azure Monitor, enzovoort wilt gebruiken in uw AKS-workloadcluster. Zie Kubernetes-netwerkvereisten met Azure Arc voor een volledige lijst met Arc-URL's.

U moet ook Azure Stack HCI-URL's controleren. Aangezien Arc voor serveragents nu standaard is geïnstalleerd op Azure Stack HCI-knooppunten vanuit Azure Stack HCI 21H2 en hoger, moet u ook de URL's van Arc voor serveragents controleren.

Stretched clusters in AKS

Zoals beschreven in het overzicht van Stretched-clusters, wordt het implementeren van AKS in Azure Stack HCI en Windows Server met behulp van Stretched Clusters niet ondersteund. We raden u aan een back-up- en herstelbenadering voor herstel na noodgevallen te gebruiken voor de operationele continuïteit van uw datacenter. Zie Back-up of herstel van werkbelastingclusters uitvoeren met Behulp van Velero- en Azure Blob-opslag in Azure Stack HCI en Windows Server, en configuraties implementeren op AksHci met GitOps met Flux v2 voor toepassingscontinuïteit.

Vereisten voor Het Windows-beheercentrum

Windows Admin Center is de gebruikersinterface voor het maken en beheren van AKS die is ingeschakeld door Azure Arc. Als u Windows Admin Center wilt gebruiken met AKS in Azure Stack HCI en Windows Server, moet u voldoen aan alle criteria in de volgende lijst.

Dit zijn de vereisten voor de computer waarop de Windows Admin Center-gateway wordt uitgevoerd:

• Windows 10 of Windows Server.
• Geregistreerd bij Azure.
• In hetzelfde domein als het Azure Stack HCI- of Windows Server Datacenter-cluster.
• Een Azure-abonnement waarvoor u eigendomsrechten hebt. U kunt uw toegangsniveau controleren door naar uw abonnement te navigeren en toegangsbeheer (IAM) aan de linkerkant van Azure Portal te selecteren en vervolgens Mijn toegang weergeven te selecteren.

Azure-vereisten

U moet verbinding maken met uw Azure-account.

Azure-account en abonnement

Als u nog geen Azure-account hebt, maakt u er een. U kunt een bestaand abonnement van elk type gebruiken:

• Gratis account met Azure-tegoed voor studenten of Visual Studio-abonnees.
• Een abonnement op betalen per gebruik met een creditcard.
• Abonnement verkregen via een Enterprise Overeenkomst (EA).
• Abonnement verkregen via het CSP-programma (Cloud Solution Provider).

Microsoft Entra-machtigingen, rol- en toegangsniveau

U moet over voldoende machtigingen beschikken om een toepassing te registreren bij uw Microsoft Entra-tenant.

Volg de onderstaande informatie om te controleren of u over voldoende machtigingen beschikt:

• Ga naar Azure Portal en selecteer rollen en beheerders onder Microsoft Entra-id om uw rol te controleren.
• Als uw rol Gebruiker is, moet u ervoor zorgen dat niet-beheerders toepassingen kunnen registreren.
• Als u wilt controleren of u toepassingen kunt registreren, gaat u naar Gebruikersinstellingen onder de Microsoft Entra-service om te controleren of u gemachtigd bent om een toepassing te registreren.

Als de instelling voor app-registraties is ingesteld op Nee, kunnen alleen gebruikers met een beheerdersrol deze typen toepassingen registreren. Zie ingebouwde rollen van Microsoft Entra voor meer informatie over de beschikbare beheerdersrollen en de specifieke machtigingen in Microsoft Entra-id die aan elke rol worden gegeven. Als aan uw account de gebruikersrol is toegewezen, maar de app-registratie-instelling is beperkt tot beheerdersgebruikers, vraagt u de beheerder u een van de beheerdersrollen toe te wijzen die alle aspecten van app-registraties kunnen maken en beheren, of om gebruikers in staat te stellen apps te registreren.

Als u niet over voldoende machtigingen beschikt om een toepassing te registreren en uw beheerder u deze machtigingen niet kan geven, kunt u AKS het eenvoudigst implementeren door uw Azure-beheerder te vragen een service-principal met de juiste machtigingen te maken. Beheerders kunnen de volgende sectie raadplegen voor meer informatie over het maken van een service-principal.

Azure-abonnementsrol en toegangsniveau

Als u uw toegangsniveau wilt controleren, gaat u naar uw abonnement, selecteert u Toegangsbeheer (IAM) aan de linkerkant van Azure Portal en selecteert u Vervolgens Mijn toegang weergeven.

• Als u Windows Admin Center gebruikt om een AKS-host of een AKS-workloadcluster te implementeren, moet u een Azure-abonnement hebben waarop u eigenaar bent.
• Als u PowerShell gebruikt om een AKS-host of een AKS-workloadcluster te implementeren, moet de gebruiker die het cluster registreert, ten minste een van de volgende onderdelen hebben:
  • Een gebruikersaccount met de ingebouwde rol Eigenaar .
  • Een service-principal met een van de volgende toegangsniveaus:
    • De ingebouwde rol Inzender .
    • De ingebouwde rol Eigenaar .

Als uw Azure-abonnement via een EA of CSP verloopt, kunt u AKS het eenvoudigst implementeren door uw Azure-beheerder te vragen een service-principal met de juiste machtigingen te maken. Beheerders kunnen de volgende sectie bekijken over het maken van een service-principal.

Optioneel: een nieuwe service-principal maken

Voer de volgende stappen uit om een nieuwe service-principal te maken met de ingebouwde rol Eigenaar . Alleen abonnementseigenaren kunnen service-principals maken met de juiste roltoewijzing. U kunt uw toegangsniveau controleren door naar uw abonnement te navigeren, toegangsbeheer (IAM) aan de linkerkant van Azure Portal te selecteren en vervolgens op Mijn toegang weergeven te selecteren.

Stel de volgende PowerShell-variabelen in een PowerShell-beheervenster in. Controleer of het abonnement en de tenant zijn wat u wilt gebruiken om uw AKS-host te registreren voor facturering:

$subscriptionID = "<Your Azure subscrption ID>"
$tenantID = "<Your Azure tenant ID>"

Installeer en importeer de AKS PowerShell-module:

Install-Module -Name AksHci

Meld u aan bij Azure met behulp van de PowerShell-opdracht Connect-AzAccount :

Connect-AzAccount -tenant $tenantID

Stel het abonnement in dat u wilt gebruiken om uw AKS-host te registreren voor facturering als het standaardabonnement door de opdracht Set-AzContext uit te voeren:

Set-AzContext -Subscription $subscriptionID

Controleer of de aanmeldingscontext juist is door de Opdracht Get-AzContext PowerShell uit te voeren. Controleer of het abonnement, de tenant en het account zijn wat u wilt gebruiken om uw AKS-host te registreren voor facturering:

Get-AzContext

Name                                     Account                      SubscriptionName             Environment                  TenantId
----                                     -------                      ----------------             -----------                  --------
myAzureSubscription (92391anf-...        user@contoso.com             myAzureSubscription          AzureCloud                   xxxxxx-xxxx-xxxx-xxxxxx

Maak een service-principal door de opdracht New-AzADServicePrincipal PowerShell uit te voeren. Met deze opdracht maakt u een service-principal met de rol Eigenaar en stelt u het bereik in op abonnementsniveau. Zie Een Azure-service-principal maken met Azure PowerShell voor meer informatie over het maken van service-principals.

$sp = New-AzADServicePrincipal -role "Owner" -scope /subscriptions/$subscriptionID

Haal het wachtwoord voor de service-principal op door de volgende opdracht uit te voeren. Deze opdracht werkt alleen voor Az.Accounts 2.6.0 of lager. We downloaden de Module Az.Accounts 2.6.0 automatisch wanneer u de AksHci PowerShell-module installeert:

$secret = $sp.PasswordCredentials[0].SecretText
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"

In de vorige uitvoer hebt u nu de toepassings-id en het geheim beschikbaar bij het implementeren van AKS. Noteer deze items en sla ze veilig op. Als u dat hebt gemaakt, ziet u in Azure Portal onder Abonnementen, Toegangsbeheer en vervolgens roltoewijzingen de nieuwe service-principal.

Azure-resourcegroep

U moet een Azure-resourcegroep hebben in de Azure-regio Australië - oost, VS - oost, Azië - zuidoost of Europa - west die beschikbaar is voordat u zich registreert.

Azure-regio's

Waarschuwing

AKS Arc ondersteunt momenteel het maken van clusters uitsluitend binnen de volgende opgegeven Azure-regio's. Als u probeert te implementeren in een regio buiten deze lijst, treedt er een implementatiefout op.

De AKS Arc-service wordt gebruikt voor registratie, facturering en beheer. Het wordt momenteel ondersteund in de volgende regio's:

• VS - oost
• VS - zuid-centraal
• Europa -west

Vereisten voor Active Directory

Voor een AKS-failovercluster met 2 of meer fysieke knooppunten die optimaal kunnen functioneren in een Active Directory-omgeving, moet aan de volgende vereisten worden voldaan:

Notitie

Active Directory is niet vereist voor implementaties van Azure Stack HCI of Windows Server met één knooppunt.

• Stel tijdsynchronisatie in, zodat de verschillen niet langer zijn dan 2 minuten op alle clusterknooppunten en de domeincontroller. Zie de Windows Time-service voor informatie over het instellen van tijdsynchronisatie.
• Zorg ervoor dat de gebruikersaccounts die zijn gebruikt voor het toevoegen van updates en het beheren van AKS- of Windows Server Datacenter-clusters de juiste machtigingen hebben in Active Directory. Als u organisatie-eenheden (OE's) gebruikt om groepsbeleid voor servers en services te beheren, zijn voor de gebruikersaccounts een lijst, lees-, wijzigings- en verwijdermachtigingen vereist voor alle objecten in de organisatie-eenheid.
• Gebruik een afzonderlijke organisatie-eenheid (OE) voor de servers en services door uw AKS- of Windows Server Datacenter-clusters. Met behulp van een afzonderlijke organisatie-eenheid kunt u de toegang en machtigingen beheren met meer granulariteit.
• Als u GPO-sjablonen gebruikt voor containers in Active Directory, moet u ervoor zorgen dat het implementeren van AKS in Azure Stack HCI en Windows Server is uitgesloten van het beleid.

Volgende stappen

Nadat u aan alle bovenstaande vereisten hebt voldaan, kunt u een AKS-host instellen op Azure Stack HCI met behulp van:

• Windows-beheercentrum
• Powershell