你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
管理和监视已启用 Azure Arc 的 Kubernetes
本文提供了用于管理和监视已启用 Azure Arc 的 Kubernetes 群集的关键设计注意事项和建议,可帮助你了解和设计卓越运营解决方案。 使用本文档中提供的指导以及文档中引用的其他关键设计领域,更好地了解相关的设计注意事项和建议。
体系结构
若要为组织构建正确的体系结构以加入本地或多云 Kubernetes 群集,需要了解已启用 Azure Arc 的 Kubernetes 体系结构和网络连接模式。 通过深入的了解,可以实现 Azure Arc 并管理、监视和满足组织的体系结构标准以及所需的操作状态。
群集管理
以下体系结构示意图显示了已启用 Azure Arc 的 Kubernetes 不同组件,以及组织在完全连接网络连接模式下加入和管理本地或多云 Kubernetes 群集时这些组件的交互方式。
下图描述从任意位置访问已启用 Azure Arc 的 Kubernetes 群集,以及各组件之间如何相互交互以使用 Azure RBAC 管理群集。
群集监视
以下体系结构示意图显示在完全连接网络连接模式下已启用 Azure Arc 的 Kubernetes 群集监视。
设计注意事项
- 查看 Azure 登陆区域的管理设计领域,评估已启用 Azure Arc 的 Kubernetes 对整体管理模型的影响。
加入群集:
- 在设计企业级登陆区域订阅时,请考虑资源组织关键设计领域和治理和安全准则中的建议来加入和管理已启用 Azure Arc 的 Kubernetes 群集和扩展。
- 根据组织的变更管理过程,是加入本地 Kubernetes 群集还是多云 Kubernetes 群集,决定是自动升级还是手动升级已启用 Azure Arc 的 Kubernetes 代理。如果在之后重新考虑此决定,可以在加入群集后随时更改已启用 Azure Arc 的 Kubernetes 代理的自动升级管理行为。
- 考虑通过最大程度减少防火墙或代理管理并设计源组和目标组来管理已启用 Azure Arc 的 Kubernetes 网络防火墙规则。 有关详细信息,请参阅组织的本地或多云防火墙或代理管理指南。
群集管理:
- 已启用 Azure Arc 的 Kubernetes 扩展要求允许防火墙或代理服务器上包含更多 URL。 根据要安装的扩展,提前规划以容纳额外的 URL 有助于最大程度地缩短变更管理时间线。
- 如果在 关闭自动升级开关的情况下载入本地或多云 Kubernetes 群集,请考虑定期升级已启用 Azure Arc 的 Kubernetes 代理,以便它们随时了解最新的产品版本,并避免将来进行昂贵的升级过程。
- 请考虑使用 GitOps 管理已启用 Arc 的 Kubernetes 代理和群集扩展更新以及保持所有群集和环境部署一致。 有关详细指导,请参阅使用 GitOps 的 CI/CD 工作流和平台准则关键设计领域。
- 请考虑使用已启用 Azure Arc 的 Kubernetes 群集连接功能连接到 apiserver,而无需在防火墙上启用任何入站端口。 若要了解此功能的工作原理,请查看网络连接关键设计领域。
群集监视:
- 查看并考虑将Azure Monitor 容器见解支持的配置用于已启用 Azure Arc 的 Kubernetes。 确定 Azure Monitor 容器见解是否满足组织对已启用 Azure Arc 的 Kubernetes 群集监视的需求。
- 请考虑为每个区域使用专用 Log Analytics 工作区从已启用 Azure Arc 的 Kubernetes 群集收集日志和指标,并对特定环境中的多个群集进行监视和报告。 有关详细信息,请参阅设计 Azure Monitor 日志部署。
- 请考虑将 Azure Monitor ITSM 连接器与组织的 IT 服务管理工具配合使用,以引发 Azure Monitor 警报事件并跟踪问题解决情况。
- 如果使用半连接网络连接模式,请考虑使用专用终结点通过 Azure ExpressRoute 或 VPN 连接来连接到 Azure Log Analytics 工作区,以便可以从已启用 Azure Arc 的 Kubernetes 群集和监视器收集日志和指标。
设计建议
加入群集:
- 通过使用共享管理终端服务器来安装所需工具,可以保持所有用户的工具及版本的一致性,并防止已启用 Azure Arc 的 Kubernetes 群集出现部署和管理问题。
- 确保管理终端服务器和本地或多云 Kubernetes 群集位于允许列表中以访问已启用 Azure Arc 的 Kubernetes 所需 URL,以便你可以使用 Azure Arc 控制平面进行加入和管理。
- 创建脚本,以验证本地或多云 Kubernetes 群集节点与已启用 Azure Arc 的 Kubernetes 所需 URL 的连接性。 此脚本有助于最大程度地减少排查和解决连接问题的需要。
- 使用 PowerShell 或 Bash 创建加入部署脚本。 此脚本可帮助加入已启用 Arc 的 Kubernetes 群集并安装群集扩展,以防止出现问题并保持所有环境和群集进行一致的部署。
群集管理:
- 某些已启用 Azure Arc 的 Kubernetes 扩展需要自定义位置来部署扩展 Pod 和配置。 每个 Kubernetes 命名空间仅支持一个自定义位置。 应在各自的 Kubernetes 命名空间中创建每个自定义位置,并部署依赖于同一命名空间中的自定义位置的已启用 Azure Arc 的 Kubernetes 扩展。
- 对已加入的群集使用完全连接网络连接模型。 如果必须使用半连接网络连接模式,则至少每 30 天一次将群集连接到 Azure Arc,以导出计费数据,至少每 90 天一次续订托管标识证书并更新已启用 Azure Arc 的 Kubernetes 资源和代理。
- 部署 Open Service Mesh (OSM) 以获取 mTLS 安全性、细化的访问控制、流量移动、使用 Azure Monitor 或 Prometheus 和 Grafana 的开源附加产品进行监视、使用 Jaeger 进行跟踪、与外部认证管理解决方案集成等功能。
群集监视:
- 使用已启用 Azure Arc 的 Kubernetes 群集的 Azure Monitor 容器见解收集日志和指标。 使用这些日志和指标创建仪表板,并针对群集相关问题生成警报。
- 启用“来自容器见解的建议指标警报规则”以从 Azure Monitor 接收通知。
- 使用 Azure Resource Graph 或 Log Analytics 查询监视群集运行状况并引发警报。
下图显示了用于状态监视的 Azure Resource Graph:
后续步骤
有关混合云和多云云旅程的详细信息,请参阅以下文章:
- 查看已启用 Azure Arc 的 Kubernetes 的先决条件。
- 查看已启用 Azure Arc 的 Kubernetes 的已验证 Kubernetes 发行版。
- 了解如何管理混合云和多云环境。
- 了解已启用 Azure Arc 的 Kubernetes 网络连接要求。
- 了解如何将现有 Kubernetes 群集连接到 Azure Arc。
- 了解如何升级已启用 Azure Arc 的 Kubernetes 代理。
- 了解如何使用 Cluster Connect 连接到已启用 Azure Arc 的 Kubernetes 群集进行群集管理。
- 使用 Azure Arc 快速入门体验已启用 Azure Arc 的 Kubernetes 自动化方案。
- 通过 Azure Arc 学习路径了解 Azure Arc。
- 查看常见问题解答 - 已启用 Azure Arc,以获取最常见问题的解答。