你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

快速入门：使用 Azure 门户在 AKS 群集中创建服务连接（预览版）

使用 Azure 门户在 Azure Kubernetes 服务 (AKS) 群集中创建新的服务连接，开始使用服务连接器。

重要

AKS 中的服务连接目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款，请参阅 Microsoft Azure 预览版的补充使用条款。

先决条件

• 具有活动订阅的 Azure 帐户。 免费创建帐户。
• 服务连接器支持的区域中的 AKS 群集。 如果还没有群集，请创建 AKS 群集。

登录 Azure

使用 Azure 帐户登录到 https://portal.azure.com/ 的 Azure 门户。

在 AKS 群集中创建新的服务连接

1. 要在 AKS 群集中创建新的服务连接，请选择 Azure 门户顶部的“搜索资源、服务和文档(G +/)”搜索栏，键入“ AKS”，然后选择“Kubernetes 服务”。

2. 选择要连接到目标资源的 AKS 群集。

3. 从左侧目录中，选择“服务连接器”。 然后选择“创建”。

4. 选择或输入以下设置。

   设置	示例	说明
   Kubernetes 命名空间	default	群集中需要进行连接的命名空间。
   服务类型	存储 - Blob	目标服务类型。 如果没有 Microsoft Blob 存储，可以创建一个，或使用其他服务类型。
   连接名称	my_connection	用于标识 AKS 群集与目标服务之间的连接的连接名称。 使用服务连接器提供的连接名称或选择自己的连接名称。
   订阅	我的订阅	目标服务（要连接到的服务）的订阅。 默认值为此 AKS 群集的订阅。
   存储帐户	my_storage_account	要连接到的目标存储帐户。 可供选择的目标服务实例因所选服务类型而异。
   客户端类型	python	用于连接到目标服务的代码语言或框架。

5. 选择“下一步: 身份验证”以选择身份验证方法。

   工作负载标识（建议）

   选择“工作负载标识”，通过 Microsoft Entra 工作负载标识向 Azure 服务的一个或多个实例进行身份验证。 然后，选择用户分配的托管标识来启用工作负载标识。

   服务主体

   选择“服务主体”，使用定义了用户/应用程序的访问策略和权限的服务主体。

   连接字符串

   警告

   Microsoft 建议使用最安全的可用身份验证流。 本过程中介绍的身份验证流程需要非常高的信任度，并携带其他流中不存在的风险。 请仅在无法使用其他更安全的流（例如托管标识）时才使用此流。

   选择“连接字符串”以使用纯机密或令牌生成或配置一个或多个键值对。

6. 选择“下一步: 网络”以配置对目标服务的网络访问，然后选择“配置防火墙规则以启用对目标服务的访问”。

7. 选择“下一步: 查看 + 创建”，以查看提供的信息。 然后选择“创建”，以创建服务连接。 此操作可能需要一分钟才能完成。

在 AKS 群集中查看服务连接

1. “服务连接器”选项卡显示此群集中的现有连接。
2. 选择“网络视图”，查看网络拓扑视图中的所有服务连接。

更新容器

在 AKS 群集和目标服务之间创建连接后，需要检索连接机密并将其部署到容器中。

1. 在 Azure 门户中，导航到 AKS 群集资源，然后选择“服务连接器(预览版)”。

2. 选择新创建的连接，然后选择“YAML 代码片段”。 此操作将打开一个面板，其中显示服务连接器生成的 YAML 文件示例。

3. 若要将连接机密设置为容器中的环境变量，有两个选项：

   • 使用提供的 YAML 示例代码片段直接创建部署。 该代码片段包含突出显示的部分，显示将作为环境变量插入的机密对象。 选择“应用”以继续使用此方法。

     

   • 或者，在“资源类型”下，选择“Kubernetes 工作负载”，然后选择现有的 Kubernetes 工作负载。 此操作将新连接的机密对象设置为所选工作负载的环境变量。 选择工作负载后，选择“应用”。

     

后续步骤

按照以下教程开始使用服务连接器连接到 AKS 群集上的 Azure 服务。

教程：使用 CSI 驱动程序连接到 Azure Key Vault

教程：使用工作负载标识连接到 Azure 存储