Samouczek: nawiązywanie połączenia z kontem usługi Azure Storage w usłudze Azure Kubernetes Service (AKS) przy użyciu łącznika usługi przy użyciu tożsamości obciążenia

Dowiedz się, jak utworzyć zasobnik w klastrze usługi AKS, który komunikuje się z kontem usługi Azure Storage przy użyciu tożsamości obciążenia za pomocą łącznika usługi. W tym samouczku wykonasz następujące zadania:

• Utwórz klaster usługi AKS i konto usługi Azure Storage.
• Utwórz połączenie między klastrem AKS i kontem usługi Azure Storage za pomocą łącznika usługi.
• Sklonuj przykładową aplikację, która będzie komunikować się z kontem usługi Azure Storage z klastra usługi AKS.
• Wdróż aplikację w zasobniku w klastrze usługi AKS i przetestuj połączenie.
• Wyczyść zasoby.

Ważne

Program Service Connect w usłudze AKS jest obecnie w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
• Zainstaluj interfejs wiersza polecenia platformy Azure i zaloguj się do interfejsu wiersza polecenia platformy Azure przy użyciu polecenia az login .
• Zainstaluj platformę Dockeri narzędzie kubectl, aby zarządzać obrazem kontenera i zasobami Kubernetes.
• Podstawowa wiedza na temat kontenera i usługi AKS. Rozpocznij od przygotowania aplikacji dla usługi AKS.
• Podstawowa wiedza na temat tożsamości obciążenia.

Tworzenie zasobów platformy Azure

1. Utwórz grupę zasobów na potrzeby tego samouczka.

   az group create \
       --name MyResourceGroup \
       --location eastus
   

2. Utwórz klaster usługi AKS za pomocą następującego polecenia lub zapoznaj się z samouczkiem. Tworzymy połączenie z usługą, definicję zasobnika i wdrażamy przykładową aplikację w tym klastrze.

   az aks create \
       --resource-group MyResourceGroup \
       --name MyAKSCluster \
       --enable-managed-identity \
       --node-count 1
   

3. Połącz się z klastrem za pomocą następującego polecenia.

   az aks get-credentials \
       --resource-group MyResourceGroup \
       --name MyAKSCluster
   

4. Utwórz konto usługi Azure Storage przy użyciu następującego polecenia lub zapoznaj się z samouczkiem. Jest to usługa docelowa połączona z klastrem AKS i przykładowa aplikacja współdziała z.

   az storage account create \
       --resource-group MyResourceGroup \
       --name MyStorageAccount \
       --location eastus \
       --sku Standard_LRS
   

5. Utwórz rejestr kontenerów platformy Azure za pomocą następującego polecenia lub zapoznaj się z samouczkiem. Rejestr hostuje obraz kontenera przykładowej aplikacji, która będzie zużywana przez definicję zasobnika usługi AKS.

   az acr create \
       --resource-group MyResourceGroup \
       --name MyRegistry \
       --sku Standard
   

   Włącz funkcję ściągania anonimowego, aby klaster usługi AKS mógł korzystać z obrazów w rejestrze.

   az acr update \
       --resource-group MyResourceGroup \
       --name MyRegistry \
       --anonymous-pull-enabled
   

6. Utwórz tożsamość zarządzaną przypisaną przez użytkownika przy użyciu następującego polecenia lub zapoznaj się z samouczkiem. Tożsamość zarządzana przypisana przez użytkownika jest używana w tworzeniu połączenia z usługą w celu włączenia tożsamości obciążenia dla obciążeń usługi AKS.

   az identity create \
       --resource-group MyResourceGroup \
       --name MyIdentity
   

Tworzenie połączenia z usługą za pomocą łącznika usługi (wersja zapoznawcza)

Utwórz połączenie usługi między klastrem usługi AKS i kontem usługi Azure Storage przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.

Portal

1. Otwórz usługę Kubernetes w witrynie Azure Portal i wybierz pozycję Łącznik usługi z menu po lewej stronie.

2. Wybierz pozycję Utwórz i wypełnij ustawienia, jak pokazano poniżej. Pozostaw inne ustawienia wartościami domyślnymi.

   Karta Podstawy:

   Ustawienie	Wybór	opis
   Przestrzeń nazw platformy Kubernetes	default	Przestrzeń nazw, w której jest potrzebne połączenie w klastrze.
   Typ usługi	Storage — Blob	Docelowy typ usługi.
   Nazwa połączenia	storage_conn	Użyj nazwy połączenia dostarczonej przez łącznik usługi lub wybierz własną nazwę połączenia.
   Subskrypcja	<MySubscription>	Subskrypcja usługi docelowej usługi Azure Blob Storage.
   Konto magazynu	<MyStorageAccount>	Docelowe konto magazynu, z którym chcesz nawiązać połączenie.
   Typ klienta	Python	Język kodu lub struktura używana do nawiązywania połączenia z usługą docelową.

   Karta Uwierzytelnianie:

   Ustawienie uwierzytelniania	Wybór	opis
   Authentication type (Typ uwierzytelniania)	Tożsamość obciążenia	Typ uwierzytelniania łącznika usługi.
   Tożsamość zarządzana przypisana przez użytkownika	<MyIdentity>	Tożsamość zarządzana przypisana przez użytkownika jest wymagana do włączenia tożsamości obciążenia.

3. Po utworzeniu połączenia na stronie Łącznik usługi zostaną wyświetlone informacje o nowym połączeniu.

Interfejs wiersza polecenia platformy Azure

Uruchom następujące polecenie interfejsu wiersza polecenia platformy Azure, aby utworzyć połączenie usługi z kontem usługi Azure Storage, podając następujące informacje:

az aks connection create storage-blob \
    --workload-identity <user-identity-resource-id>

Podaj następujące informacje zgodnie z monitem:

• Nazwa źródłowej grupy zasobów usługi obliczeniowej: nazwa grupy zasobów klastra usługi AKS.
• Nazwa klastra usługi AKS: nazwa klastra usługi AKS, który łączy się z usługą docelową.
• Nazwa grupy zasobów usługi docelowej: nazwa grupy zasobów konta usługi Azure Storage.
• Nazwa konta magazynu: połączone konto usługi Azure Storage.
• Identyfikator zasobu tożsamości przypisanej przez użytkownika: identyfikator zasobu tożsamości przypisanej przez użytkownika używany do tworzenia tożsamości obciążenia.

Klonowanie przykładowej aplikacji

1. Sklonuj przykładowe repozytorium:

   git clone https://github.com/Azure-Samples/serviceconnector-aks-samples.git
   

2. Przejdź do folderu przykładowego repozytorium dla usługi Azure Storage:

   cd serviceconnector-aks-samples/azure-storage-workload-identity
   

Kompilowanie i wypychanie obrazu kontenera

1. Skompiluj i wypchnij obrazy do rejestru kontenerów przy użyciu polecenia interfejsu wiersza polecenia az acr build platformy Azure.

   az acr build --registry <MyRegistry> --image sc-demo-storage-identity:latest ./
   

2. Wyświetl obrazy w rejestrze kontenerów przy użyciu az acr repository list polecenia .

   az acr repository list --name <MyRegistry> --output table
   

Uruchamianie aplikacji i testowanie połączenia

1. Zastąp pod.yaml symbole zastępcze w pliku w folderze azure-storage-identity .

   • Zastąp <YourContainerImage> ciąg nazwą obrazu, który tworzymy w ostatnim kroku, na przykład <MyRegistry>.azurecr.io/sc-demo-storage-identity:latest.
   • Zastąp <ServiceAccountCreatedByServiceConnector> element kontem usługi utworzonym przez łącznik usługi po utworzeniu połączenia. Możesz sprawdzić nazwę konta usługi w witrynie Azure Portal łącznika usługi.
   • Zastąp ciąg <SecretCreatedByServiceConnector> wpisem tajnym utworzonym przez łącznik usługi po utworzeniu połączenia. Możesz sprawdzić nazwę wpisu tajnego w witrynie Azure Portal łącznika usługi.

2. Wdróż zasobnik w klastrze za pomocą kubectl apply polecenia . Zainstaluj kubectl lokalnie przy użyciu polecenia az aks install-cli , jeśli nie jest zainstalowany. Polecenie tworzy zasobnik o nazwie sc-demo-storage-identity w domyślnej przestrzeni nazw klastra usługi AKS.

   kubectl apply -f pod.yaml
   

3. Sprawdź, czy wdrożenie zakończyło się pomyślnie, wyświetlając zasobnik za pomocą polecenia kubectl.

   kubectl get pod/sc-demo-storage-identity.
   

4. Sprawdź, czy połączenie zostało nawiązane, wyświetlając dzienniki za pomocą polecenia kubectl.

   kubectl logs pod/sc-demo-storage-identity
   

Czyszczenie zasobów

Jeśli nie musisz ponownie używać zasobów utworzonych w tym samouczku, usuń wszystkie utworzone zasoby, usuwając grupę zasobów.

az group delete \
    --resource-group MyResourceGroup

Następne kroki

Przeczytaj następujące artykuły, aby dowiedzieć się więcej na temat pojęć dotyczących łącznika usług i sposobu, w jaki pomaga on usłudze AKS łączyć się z usługami.

Dowiedz się więcej o pojęciach dotyczących łącznika usług

Łączenie klastra AKS z innymi usługami w chmurze za pomocą łącznika usługi Service Connector