你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
已启用 Azure Arc 的 Kubernetes 连接模式
已启用 Azure Arc 的 Kubernetes 需要在 Kubernetes 群集上部署 Azure Arc 代理,以便在群集上提供配置 (GitOps)、扩展、群集连接和自定义位置等功能。 由于在边缘部署的 Kubernetes 群集可能没有恒定的网络连接,因此代理可能无法在半连接模式下访问 Azure Arc 服务。
了解连接模式
使用已启用 Azure Arc 的 Kubernetes 群集时,请务必了解网络连接模式如何影响操作。
完全连接:通过正在进行的网络连接,代理可以一致地与 Azure 通信。 在此模式下,任务通常没有什么延迟,例如传播 GitOps 配置、强制执行 Azure Policy和 Gatekeeper 策略,或在 Azure Monitor 中收集工作负载指标和日志。
半连接:Azure Arc 代理可以从 Arc 服务拉取所需的状态规范,然后在群集上实现此状态。
重要
clusteridentityoperator拉取的托管标识证书的有效期最长为 90天。 代理将尝试在此时间段内续订证书;但是,如果没有网络连接,证书可能会过期,并且已启用 Azure Arc 的 Kubernetes 资源将停止工作。 因此,我们建议确保连接的群集每 30 天至少建立一次网络连接。 如果证书过期,则需要删除并重新创建已启用 Azure Arc 的 Kubernetes 资源和代理,以便重新激活群集上的 Azure Arc 功能。断开连接:已启用 Azure Arc 的 Kubernetes 目前不支持离线环境中无法访问 Azure 的 Kubernetes 群集。
连接状态
群集的连接状态取决于从群集上部署的 Arc 代理收到最新检测信号的时间:
| 状态 | 说明 |
|---|---|
| 正在连接 | 已启用 Azure Arc 的 Kubernetes 资源已在 Azure 中创建,但服务尚未收到代理程序检测信号。 |
| 已连接 | 已启用 Azure Arc 的 Kubernetes 服务在过去 15 分钟内收到了代理程序检测信号。 |
| 脱机 | 已启用 Azure Arc 的 Kubernetes 资源事先已连接,但服务至少有 15 分钟未收到任何代理检测信号。 |
| Expired | 群集的托管标识证书已过期。 在此状态下,Azure Arc 功能将不再在群集上运行。 有关如何解决已启用 Azure Arc 的 Kubernetes 资源过期问题的详细信息,请参阅常见问题解答。 |
后续步骤
- 参考快速入门将 Kubernetes 群集连接到 Azure Arc。
- 详细了解如何在群集与 Git 存储库之间创建连接,用作已启用 Azure Arc 的 Kubernetes 中的配置资源。
- 查看 Azure Arc 网络要求。