Quickstart: Een serviceverbinding maken in een AKS-cluster met de Azure CLI

In deze quickstart ziet u hoe u Azure Kubernetes Service (AKS) verbindt met andere cloudresources met behulp van Azure CLI en Service Connector. Met serviceconnector kunt u snel rekenservices verbinden met cloudservices, terwijl u de verificatie- en netwerkinstellingen van uw verbinding beheert.

Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.

Vereisten

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

• Voor deze quickstart is versie 2.30.0 of hoger van de Azure CLI vereist. Als u Azure Cloud Shell gebruikt, is de nieuwste versie al geïnstalleerd.
• In deze quickstart wordt ervan uitgegaan dat u al een AKS-cluster hebt. Als u er nog geen hebt, maakt u een AKS-cluster.
• In deze quickstart wordt ervan uitgegaan dat u al een Azure Storage-account hebt. Als u er nog geen hebt, maakt u een Azure Storage-account.

Eerste installatie

1. Als u serviceconnector voor het eerst gebruikt, start u met de opdracht az provider register om de resourceproviders serviceconnector en Kubernetes Configuration te registreren.

   az provider register -n Microsoft.ServiceLinker
   

   az provider register -n Microsoft.KubernetesConfiguration
   

   Tip

   U kunt controleren of deze resourceproviders al zijn geregistreerd door de opdrachten az provider show -n "Microsoft.ServiceLinker" --query registrationState uit te voeren en az provider show -n "Microsoft.KubernetesConfiguration" --query registrationState.

2. Gebruik desgewenst de Azure CLI-opdracht om een lijst met ondersteunde doelservices voor een AKS-cluster op te halen.

   az aks connection list-support-types --output table
   

Een serviceverbinding maken

Een workloadidentiteit gebruiken

Belangrijk

Als u beheerde identiteit gebruikt, moet u over de machtiging beschikken voor de roltoewijzing van Microsoft Entra ID. Als u niet over de machtiging beschikt, mislukt het maken van de verbinding. U kunt de eigenaar van uw abonnement om toestemming vragen of een toegangssleutel gebruiken om de verbinding te maken.

Gebruik de Azure CLI-opdracht om een serviceverbinding met een Blob Storage met een workloadidentiteit te maken, met de volgende informatie:

• Naam van bronresourceserviceresourcegroep: de naam van de resourcegroep van het AKS-cluster.
• AKS-clusternaam: de naam van uw AKS-cluster dat verbinding maakt met de doelservice.
• Naam van doelserviceresourcegroep: de naam van de resourcegroep van de Blob Storage.
• Naam van opslagaccount: de accountnaam van uw Blob Storage.
• Door de gebruiker toegewezen identiteitsresource-id: de resource-id van de door de gebruiker toegewezen identiteit die wordt gebruikt voor het maken van een workloadidentiteit

az aks connection create storage-blob \
    --workload-identity <user-identity-resource-id>

Notitie

Als u geen Blob Storage hebt, kunt u uitvoeren az aks connection create storage-blob --new --workload-identity <user-identity-resource-id>" om een nieuwe in te richten en direct verbinding te maken met uw functie-app.

Een toegangssleutel gebruiken

Waarschuwing

Microsoft raadt u aan de veiligste verificatiestroom te gebruiken die beschikbaar is. De verificatiestroom die in deze procedure wordt beschreven, vereist een zeer hoge mate van vertrouwen in de toepassing en brengt risico's met zich mee die niet aanwezig zijn in andere stromen. U moet deze stroom alleen gebruiken wanneer andere veiligere stromen, zoals beheerde identiteiten, niet haalbaar zijn.

Voer de volgende Azure CLI-opdracht uit om een serviceverbinding met een Azure Blob Storage te maken met een toegangssleutel, met de volgende informatie.

az aks connection create storage-blob --secret

Geef de volgende informatie op zoals hierom wordt gevraagd:

• Naam van bronresourceserviceresourcegroep: de naam van de resourcegroep van het AKS-cluster.
• AKS-clusternaam: de naam van uw AKS-cluster dat verbinding maakt met de doelservice.
• Naam van doelserviceresourcegroep: de naam van de resourcegroep van de Blob Storage.
• Naam van opslagaccount: de accountnaam van uw Blob Storage.

Notitie

Als u geen Blob Storage hebt, kunt u een nieuwe inrichten az aks connection create storage-blob --new --secret en deze verbinden met uw AKS-cluster.

Verbindingen weergeven

Gebruik de opdracht Azure CLI az aks connection list om verbindingen met uw AKS-cluster weer te geven, met de volgende informatie:

• Naam van bronresourceserviceresourcegroep: de naam van de resourcegroep van het AKS-cluster.
• AKS-clusternaam: de naam van uw AKS-cluster dat verbinding maakt met de doelservice.

az aks connection list \
    -g "<your-aks-cluster-resource-group>" \
    -n "<your-aks-cluster-name>" \
    --output table

Volgende stappen

Ga naar de volgende zelfstudies om een AKS-cluster te verbinden met Azure-services met serviceconnector.

Zelfstudie: Verbinding maken met Azure Key Vault met behulp van het CSI-stuurprogramma

Zelfstudie: Verbinding maken met Azure Storage met behulp van workloadidentiteit