Snabbstart: Skapa en tjänstanslutning i AKS-kluster med Azure CLI

Den här snabbstarten visar hur du ansluter Azure Kubernetes Service (AKS) till andra molnresurser med hjälp av Azure CLI och Service Connector. Med Service Connector kan du snabbt ansluta beräkningstjänster till molntjänster, samtidigt som du hanterar anslutningens autentiserings- och nätverksinställningar.

Om du inte har en Azure-prenumeration skapar du ett kostnadsfritt Azure-konto innan du börjar.

Förutsättningar

• Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

  

• Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

  • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

  • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

• Den här snabbstarten kräver version 2.30.0 eller senare av Azure CLI. Om du använder Azure Cloud Shell är den senaste versionen redan installerad.
• Den här snabbstarten förutsätter att du redan har ett AKS-kluster. Om du inte har något ännu skapar du ett AKS-kluster.
• Den här snabbstarten förutsätter att du redan har ett Azure Storage-konto. Om du inte har något ännu skapar du ett Azure Storage-konto.

Inledande konfiguration

1. Om du använder Service Connector för första gången börjar du med att köra kommandot az provider register för att registrera resursprovidrar för Service Connector och Kubernetes Configuration.

   az provider register -n Microsoft.ServiceLinker
   

   az provider register -n Microsoft.KubernetesConfiguration
   

   Dricks

   Du kan kontrollera om dessa resursprovidrar redan har registrerats genom att köra kommandona az provider show -n "Microsoft.ServiceLinker" --query registrationState och az provider show -n "Microsoft.KubernetesConfiguration" --query registrationState.

2. Du kan också använda Azure CLI-kommandot för att hämta en lista över måltjänster som stöds för AKS-kluster.

   az aks connection list-support-types --output table
   

Skapa en tjänstanslutning

Använda en arbetsbelastningsidentitet

Viktigt!

Om du använder hanterad identitet måste du ha behörighet till Rolltilldelning för Microsoft Entra-ID. Om du inte har behörigheten misslyckas anslutningen. Du kan be prenumerationsägaren om behörigheten eller använda en åtkomstnyckel för att skapa anslutningen.

Använd Azure CLI-kommandot för att skapa en tjänstanslutning till en Blob Storage med en arbetsbelastningsidentitet, med följande information:

• Resursgruppsnamn för källberäkningstjänsten: resursgruppens namn på AKS-klustret.
• AKS-klusternamn: namnet på ditt AKS-kluster som ansluter till måltjänsten.
• Namn på resursgrupp för måltjänst: namnet på bloblagringens resursgrupp.
• Lagringskontonamn: kontonamnet för bloblagringen.
• Resurs-ID för användartilldelad identitet: resurs-ID för den användartilldelade identitet som används för att skapa arbetsbelastningsidentitet

az aks connection create storage-blob \
    --workload-identity <user-identity-resource-id>

Kommentar

Om du inte har någon Blob Storage kan du köra az aks connection create storage-blob --new --workload-identity <user-identity-resource-id>" för att etablera en ny och ansluta till funktionsappen direkt.

Använda en åtkomstnyckel

Varning

Microsoft rekommenderar att du använder det säkraste tillgängliga autentiseringsflödet. Det autentiseringsflöde som beskrivs i den här proceduren kräver mycket stort förtroende för programmet och medför risker som inte finns i andra flöden. Du bör bara använda det här flödet när andra säkrare flöden, till exempel hanterade identiteter, inte är livskraftiga.

Kör följande Azure CLI-kommando för att skapa en tjänstanslutning till en Azure Blob Storage med en åtkomstnyckel, med följande information.

az aks connection create storage-blob --secret

Ange följande information som du uppmanas att göra:

• Resursgruppsnamn för källberäkningstjänsten: resursgruppens namn på AKS-klustret.
• AKS-klusternamn: namnet på ditt AKS-kluster som ansluter till måltjänsten.
• Namn på resursgrupp för måltjänst: namnet på bloblagringens resursgrupp.
• Lagringskontonamn: kontonamnet för bloblagringen.

Kommentar

Om du inte har någon Blob Storage kan du köra az aks connection create storage-blob --new --secret för att etablera en ny och ansluta den till ditt AKS-kluster.

Visa anslutningar

Använd kommandot Azure CLI az aks connection list för att visa en lista över anslutningar till ditt AKS-kluster med följande information:

• Resursgruppsnamn för källberäkningstjänsten: resursgruppens namn på AKS-klustret.
• AKS-klusternamn: namnet på ditt AKS-kluster som ansluter till måltjänsten.

az aks connection list \
    -g "<your-aks-cluster-resource-group>" \
    -n "<your-aks-cluster-name>" \
    --output table

Nästa steg

Gå till följande självstudier för att börja ansluta AKS-kluster till Azure-tjänster med Service Connector.

Självstudie: Ansluta till Azure Key Vault med CSI-drivrutin

Självstudie: Ansluta till Azure Storage med hjälp av arbetsbelastningsidentitet