Краткое руководство. Создание подключения к службе в кластере AKS с помощью Azure CLI

В этом кратком руководстве показано, как подключить Служба Azure Kubernetes (AKS) к другим облачным ресурсам с помощью Azure CLI и Соединителя служб. Соединитель служб позволяет быстро подключать вычислительные службы к облачным службам, а также управлять параметрами проверки подлинности подключения и сети.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Необходимые компоненты

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  

• Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Для работы с этим кратким руководством требуется Azure CLI 2.30.0 или более поздней версии. Если вы используете Azure Cloud Shell, последняя версия уже установлена.
• В этом кратком руководстве предполагается, что у вас уже есть кластер AKS. Если у вас еще нет этого кластера, создайте кластер AKS.
• В этом кратком руководстве предполагается, что у вас уже есть учетная запись служба хранилища Azure. Если у вас еще нет учетной записи, создайте учетную запись служба хранилища Azure.

Начальная настройка

1. Если вы впервые используете соединитель служб, начните с запуска команды az provider register , чтобы зарегистрировать соединитель службы и поставщики ресурсов конфигурации Kubernetes.

   az provider register -n Microsoft.ServiceLinker
   

   az provider register -n Microsoft.KubernetesConfiguration
   

   Совет

   Вы можете проверить, зарегистрированы ли эти поставщики az provider show -n "Microsoft.ServiceLinker" --query registrationState ресурсов, выполнив команды и az provider show -n "Microsoft.KubernetesConfiguration" --query registrationState.

2. При необходимости используйте команду Azure CLI, чтобы получить список поддерживаемых целевых служб для кластера AKS.

   az aks connection list-support-types --output table
   

Создание подключения службы

Использование удостоверения рабочей нагрузки

Внимание

Для использования управляемого удостоверения требуется разрешение на назначение ролей Идентификатора Microsoft Entra. Если у вас нет разрешения, создание подключения завершится ошибкой. Вы можете попросить владельца подписки разрешения или использовать ключ доступа для создания подключения.

Используйте команду Azure CLI для создания подключения службы к хранилищу BLOB-объектов с удостоверением рабочей нагрузки, предоставляя следующие сведения:

• Имя группы ресурсов исходной службы вычислений: имя группы ресурсов кластера AKS.
• Имя кластера AKS: имя кластера AKS, который подключается к целевой службе.
• Имя группы ресурсов целевой службы — имя группы ресурсов для Хранилища BLOB-объектов.
• Имя учетной записи хранения: имя вашего хранилища BLOB-объектов.
• Идентификатор ресурса удостоверения, назначаемого пользователем: идентификатор ресурса, назначаемого пользователем, который используется для создания удостоверения рабочей нагрузки.

az aks connection create storage-blob \
    --workload-identity <user-identity-resource-id>

Примечание.

Если у вас нет хранилища BLOB-объектов, можно выполнить az aks connection create storage-blob --new --workload-identity <user-identity-resource-id>" подготовку нового и подключиться к приложению-функции сразу.

Использование ключа доступа

Предупреждение

Корпорация Майкрософт рекомендует использовать самый безопасный поток проверки подлинности. Поток проверки подлинности, описанный в этой процедуре, требует очень высокого уровня доверия к приложению и несет риски, которые отсутствуют в других потоках. Этот поток следует использовать только в том случае, если другие более безопасные потоки, такие как управляемые удостоверения, не являются жизнеспособными.

Выполните следующую команду Azure CLI, чтобы создать подключение службы к Хранилище BLOB-объектов Azure с ключом доступа, указав следующие сведения.

az aks connection create storage-blob --secret

Укажите следующие сведения, как показано ниже.

• Имя группы ресурсов исходной службы вычислений: имя группы ресурсов кластера AKS.
• Имя кластера AKS: имя кластера AKS, который подключается к целевой службе.
• Имя группы ресурсов целевой службы — имя группы ресурсов для Хранилища BLOB-объектов.
• Имя учетной записи хранения: имя вашего хранилища BLOB-объектов.

Примечание.

Если у вас нет хранилища BLOB-объектов, можно выполнить az aks connection create storage-blob --new --secret подготовку нового и подключить его к кластеру AKS.

Просмотр подключений

Используйте команду azure CLI az aks connection list для перечисления подключений к кластеру AKS, указав следующие сведения:

• Имя группы ресурсов исходной службы вычислений: имя группы ресурсов кластера AKS.
• Имя кластера AKS: имя кластера AKS, который подключается к целевой службе.

az aks connection list \
    -g "<your-aks-cluster-resource-group>" \
    -n "<your-aks-cluster-name>" \
    --output table

Следующие шаги

Перейдите к следующим руководствам, чтобы начать подключение кластера AKS к службам Azure с помощью соединителя служб.

Руководство. Подключение к Azure Key Vault с помощью драйвера CSI

Руководство. Подключение к служба хранилища Azure с помощью удостоверения рабочей нагрузки