Konfigurera Dapr-tillägget för ditt Azure Kubernetes Service (AKS) och Arc-aktiverade Kubernetes-projekt

När du har slutfört förutsättningarna för att installera Dapr-tillägget kan du konfigurera Dapr-tillägget så att det fungerar bäst för dig och ditt projekt med hjälp av olika konfigurationsalternativ, till exempel:

• Rotera utgångna certifikat
• Etablera Dapr med hög tillgänglighet (HA) aktiverat
• Begränsa vilken av noderna som använder Dapr-tillägget
• Ställa in automatiska uppdateringar av anpassad resursdefinition (CRD)
• Konfigurera Dapr-versionsnamnområdet

Med tillägget kan du ange Konfigurationsalternativ för Dapr med hjälp av parametern --configuration-settings i Azure CLI eller configurationSettings egenskapen i en Bicep-mall.

Hantera mTLS-certifikat

Dapr-tillägget stöder kryptering under överföring av kommunikation mellan Dapr-instanser med hjälp av Dapr Sentry-tjänstkontrollplanet, som är en central certifikatutfärdare (CA). Med Sentry-tjänsten kan du kryptera kommunikationen med hjälp av självsignerade eller användarinlevererade x.509-certifikat. Läs mer om hur du konfigurerar mTLS-certifikat i Dapr-dokumentationen med öppen källkod.

Du kan ta in dina egna certifikat eller låta Dapr automatiskt skapa och bevara självsignerade rot- och utfärdarcertifikat.

Viktigt!

Om du inte uttryckligen konfigurerar certifikat genererar Dapr som standard självsignerade certifikat, som vanligtvis är giltiga i 1 år. För närvarande rekommenderas inte att använda självsignerade certifikat som genereras av Dapr. Bästa praxis är att generera anpassade certifikat och uppdatera dem manuellt.

Hantera Dapr-genererade självsignerade certifikat

Om du inte har angett några anpassade certifikat skapar och bevarar Dapr automatiskt självsignerade certifikat som är giltiga i 1 år. Dapr-tillägget installerar hemligheten dapr-trust-bundle , som innehåller certifikatinformation under standardnamnområdet dapr-system .

Kontrollera att de aktuella Dapr-genererade självsignerade certifikaten har upphört att gälla

Du kan kontrollera när Dapr-rotcertifikatet för kubernetes-klustret upphör att gälla med hjälp av Dapr CLI.

dapr mtls expiry

Förväntade utdata:

Root certificate expires in 8759 hours. Expiry date: 2025-12-06 18:14:20 +0000 UTC

Du kan också hitta förfallodatumet för ditt aktuella certifikat i Kubernetes dapr-trust-bundle hemliga data.

kubectl get secret dapr-trust-bundle -n dapr-system -o jsonpath='{.data.issuer\.crt}' | base64 -d | openssl x509 -noout -dates

Förväntade utdata:

notBefore=Dec  6 17:59:20 2024 GMT
notAfter=Dec  6 18:14:20 2025 GMT

Generera ett nytt Dapr-genererat självsignerat certifikat

• Via Dapr CLI (rekommenderas)
  Se Daprs uppgradering av rot- och utfärdarcertifikat med hjälp av CLI-guiden .
• Via kubectl kommandon refererar du till Daprs certifikat för uppdatering av rot- eller utfärdarcertifikat med kubectl-guide .

Hantera dina egna x.509-certifikat från användaren

Du kan också ta med egna anpassade certifikat.

• Generera anpassade certifikat
  Skapa ett eget anpassat certifikat. till exempel ett Azure Key Vault-certifikat.
• Uppdatera ditt anpassade certifikat manuellt
  Följ anvisningarna i Dapr öppen källkod-dokumentationen för att uppdatera dina anpassade certifikat manuellt med hjälp av kubectl.

Etablera Dapr med hög tillgänglighet (HA) aktiverat

Etablera Dapr med hög tillgänglighet (HA) aktiverat genom att ange parametern global.ha.enabled till true.

Azure CLI

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2"

Kommentar

Om konfigurationsinställningarna är känsliga och måste skyddas (till exempel certrelaterad information) skickar du parametern --configuration-protected-settings så skyddas värdet från att läsas.

Bicep

properties: {
  configurationSettings: {
    'global.ha.enabled': true
  }
}

Kommentar

Om konfigurationsinställningarna är känsliga och måste skyddas (till exempel certrelaterad information) använder du configurationProtectedSettings egenskapen och värdet skyddas från att läsas.

Om inga konfigurationsinställningar skickas går Dapr-konfigurationen som standard till:

  ha:
    enabled: true
    replicaCount: 3
    disruption:
      minimumAvailable: ""
      maximumUnavailable: "25%"
  prometheus:
    enabled: true
    port: 9090
  mtls:
    enabled: true
    workloadCertTTL: 24h
    allowedClockSkew: 15m

En lista över tillgängliga alternativ finns i Dapr-konfiguration.

Begränsa tillägget till vissa noder

I vissa konfigurationer kanske du bara vill köra Dapr på vissa noder. Du kan begränsa tillägget genom att skicka en nodeSelector i tilläggskonfigurationen. Om den önskade nodeSelector innehåller .måste du ta bort dem från gränssnittet och tillägget. Följande konfiguration installerar till exempel endast Dapr till noder med topology.kubernetes.io/zone: "us-east-1c":

Azure CLI

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2" \
--configuration-settings "global.nodeSelector.kubernetes\.io/zone=us-east-1c"

För att hantera operativsystem och arkitektur använder du versionerna och global.daprControlPlaneArch konfigurationen som global.daprControlPlaneOs stöds:

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2" \
--configuration-settings "global.daprControlPlaneOs=linux” \
--configuration-settings "global.daprControlPlaneArch=amd64”

Bicep

properties: {
  configurationSettings: {
    'global.clusterType': 'managedclusters'
    'global.ha.enabled': true
    'global.nodeSelector.kubernetes\.io/zone': 'us-east-1c'
    
  }
}

För att hantera operativsystem och arkitektur använder du versionerna och global.daprControlPlaneArch konfigurationen som global.daprControlPlaneOs stöds:

properties: {
  configurationSettings: {
    'global.clusterType': 'managedclusters'
    'global.ha.enabled': true
    'global.daprControlPlaneOs': 'linux'
    'global.daprControlPlaneArch': 'amd64'
  }
}

Installera Dapr i flera tillgänglighetszoner i ha-läge

Som standard använder placeringstjänsten en lagringsklass av typen standard_LRS. Vi rekommenderar att du skapar en zonredundant lagringsklass när du installerar Dapr i HA-läge i flera tillgänglighetszoner. Om du till exempel vill skapa en zrs typlagringsklass lägger du till parametern storageaccounttype :

kind: StorageClass
apiVersion: storage.k8s.io/v1
metadata:
  name: custom-zone-redundant-storage
provisioner: disk.csi.azure.com
reclaimPolicy: Delete
allowVolumeExpansion: true
volumeBindingMode: WaitForFirstConsumer
parameters:
  storageaccounttype: Premium_ZRS

När du installerar Dapr använder du lagringsklassen som du använde i YAML-filen:

Azure CLI

az k8s-extension create --cluster-type managedClusters  
--cluster-name XXX  
--resource-group XXX  
--name XXX  
--extension-type Microsoft.Dapr  
--auto-upgrade-minor-version XXX  
--version XXX  
--configuration-settings "dapr_placement.volumeclaims.storageClassName=custom-zone-redundant-storage"

Bicep

properties: {
  configurationSettings: {
    'dapr_placement.volumeclaims.storageClassName': 'custom-zone-redundant-storage'
    'global.ha.enabled': true  
  }
}

Konfigurera Dapr-versionsnamnområdet

Du kan konfigurera versionsnamnområdet.

Azure CLI

Dapr-tillägget installeras som standard i dapr-system namnområdet. Om du vill åsidosätta den använder du --release-namespace. Om du vill omdefiniera namnområdet tar du med klustret --scope.

az k8s-extension create \
--cluster-type managedClusters \
--cluster-name dapr-aks \
--resource-group dapr-rg \
--name my-dapr-ext \
--extension-type microsoft.dapr \
--release-train stable \
--auto-upgrade false \
--version 1.9.2 \
--scope cluster \
--release-namespace dapr-custom

Bicep

Dapr-tillägget installeras som standard i dapr-system namnområdet. Om du vill åsidosätta det använder du releaseNamespace i klustret scope för att omdefiniera namnområdet.

properties: {
  scope: {
    cluster: {
      releaseNamespace: 'dapr-custom'
    }
  }
}

Lär dig hur du konfigurerar Dapr-versionsnamnområdet när du migrerar från Dapr öppen källkod till Dapr-tillägget.

Visa aktuella konfigurationsinställningar

az k8s-extension show Använd kommandot för att visa de aktuella Dapr-konfigurationsinställningarna:

az k8s-extension show --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr

Uppdatera konfigurationsinställningar

Viktigt!

Vissa konfigurationsalternativ kan inte ändras efter skapandet. Justeringar av dessa alternativ kräver borttagning och återskapande av tillägget, som gäller för följande inställningar:

• global.ha.*
• dapr_placement.*

HA är aktiverat som standard. Om du inaktiverar det måste tillägget tas bort och återskapas.

Om du vill uppdatera dapr-konfigurationsinställningarna återskapar du tillägget med önskat tillstånd. Anta till exempel att du tidigare har skapat och installerat tillägget med hjälp av följande konfiguration:

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \  
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2" 

Om du vill uppdatera dapr_operator.replicaCount från två till tre använder du följande kommando:

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=3"

Ange den utgående proxyn för Dapr-tillägget för Azure Arc lokalt

Om du vill använda en utgående proxy med Dapr-tillägget för AKS kan du göra det genom att:

1. Ange proxymiljövariablerna med hjälp av anteckningarnadapr.io/env:
   • HTTP_PROXY
   • HTTPS_PROXY
   • NO_PROXY
2. Installera proxycertifikatet i sidovagnen.

Uppdatera din Dapr-installationsversion

Azure CLI

Om du har en specifik Dapr-version och inte har --auto-upgrade-minor-version någon tillgänglig version kan du använda följande kommando för att uppgradera eller nedgradera Dapr:

az k8s-extension update --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--version 1.12.0 # Version to upgrade or downgrade to

Bicep

Om du har en specifik Dapr-version och inte har autoUpgradeMinorVersion någon tillgänglig version kan du använda följande Bicep-egenskap för att uppgradera eller nedgradera Dapr:

properties: {
  version: '1.12.0'
}

Föregående kommando uppdaterar endast Dapr-kontrollplanet . Om du vill uppdatera Dapr-sidovagnen startar du om programdistributionerna:

kubectl rollout restart deploy/<DEPLOYMENT-NAME>

Använda Azure Linux-baserade avbildningar

Från Dapr version 1.8.0 kan du använda Azure Linux-avbildningar med Dapr-tillägget. Om du vill använda dem anger du global.tag flaggan:

Azure CLI

az k8s-extension update --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--set global.tag=1.10.0-mariner

Bicep

properties: {
  global.tag: '1.10.0-mariner'
}

• Läs mer om hur du använder Mariner-baserade bilder med Dapr.
• Läs mer om att distribuera Azure Linux på AKS.

Inaktivera automatiska CRD-uppdateringar

Från Dapr version 1.9.2 uppgraderas CRD:er automatiskt när tillägget uppgraderas. Om du vill inaktivera den här inställningen kan du ange hooks.applyCrds till false.

Azure CLI

az k8s-extension update --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--configuration-settings "hooks.applyCrds=false"

Bicep

properties: {
  configurationSettings: {
    'hooks.applyCrds': false
  } 
}

Kommentar

CRD:er tillämpas endast vid uppgraderingar och hoppas över under nedgraderingar.

Uppfylla nätverkskrav

Dapr-tillägget kräver följande utgående URL:er https://:443 för att fungera på AKS och Arc för Kubernetes:

1. https://mcr.microsoft.com/daprio URL för att hämta Dapr-artefakter.
2. De utgående URL:er som krävs för AKS eller Arc för Kubernetes.

Nästa steg

• Gå igenom självstudien för att distribuera Dapr Workflow via tillägget
• Migrera från Dapr öppen källkod till Dapr-tillägget.