適用於使用者的 Azure Stack Hub 上的 Azure Kubernetes Service 概觀
Azure Kubernetes Service (AKS) 可讓您輕鬆地在 Azure 和 Azure Stack Hub 中部署 Kubernetes 叢集。 AKS 可減少管理 Kubernetes 叢集的複雜度和作業額外負荷。
作為受控 Kubernetes 服務,Azure Stack Hub 會處理健康情況監視等重要工作,並協助您進行維護。 Azure Stack 小組會管理用來維護叢集的映像。 叢集管理員只需要視需要套用更新。 服務不需額外費用。 AKS 是免費的:您只需支付在您的叢集內使用 VM(主要和代理程序節點) 的費用。 它比 AKS 引擎更容易使用,因為它會移除 AKS 引擎 所需的一些手動工作。
重要
目前處於預覽狀態的 Azure Stack Hub 上的 Azure Kubernetes Service 已停止,且不會變成 GA。 如需 Azure Stack Hub 上的 Kubernetes 解決方案,請參閱 AKS 引擎 。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
Azure Stack Hub 上的 AKS
您可以使用相同的 Azure CLI、Azure Stack Hub 使用者入口網站、Azure Resource Manager 範本和 REST API,在 Azure 雲端上管理 AKS 叢集。 當您部署 AKS 叢集時,Kubernetes 主要節點和所有節點都會為您部署和設定。
如需 Kubernetes 概念的詳細資訊,請參閱 Kubernetes 檔。 如需全域 Azure 上 AKS 服務的完整檔,請參閱 Azure Kubernetes Service 上的檔。
使用者角色和責任
Azure Stack Hub 是一種內部部署系統,客戶可以在其數據中心內用來執行其雲端原生工作負載。 這些系統支援兩種使用者類型:雲端操作員和使用者。
下列工作落在 Azure Stack Hub 操作員上:
- 請確定 Azure Stack Hub 實例中提供 Azure Kubernetes Service 基底映射,這包括從 Azure 下載它們。
- 請確定 Azure Kubernetes Service 適用於客戶方案和使用者訂用帳戶,如同 Azure Stack Hub 中任何其他服務的情況一樣。
- 監視 Azure Kubernetes Service,並處理任何警示和相關聯的補救。
- 如需操作員工作的詳細資訊,請參閱 安裝和提供 Azure Stack Hub 上的 Azure Kubernetes Service
下列工作會對應至使用者, 也就是租使用者 AKS 叢集管理員:
- 監視 Kubernetes 叢集代理程式的健康情況,並處理任何事件和相關聯的補救。 即使主機是在租使用者訂用帳戶內建立,服務仍會監視其狀態,並視需要執行補救步驟。 不過,在某些情況下,可能需要租使用者叢集管理員將叢集恢復為狀況良好的狀態。
- 使用 Azure Kubernetes Service 設施來管理叢集的生命週期,也就是建立、升級和調整作業。
- 維護作業:部署應用程式、備份和還原、疑難解答、記錄集合和監視應用程式。
- 如需租使用者工作的詳細數據,請參閱 搭配 CLI 在 Azure Stack Hub 上使用 Azure Kubernetes Service
特徵比較
下表提供全域 Azure 中 AKS 的功能概觀,與 Azure Stack Hub 中的功能相比。
| 面積圖 | 功能 | Azure AKS | Azure Stack Hub AKS |
|---|---|---|---|
| 存取安全性 | |||
| Kubernetes RBAC | Yes | Yes | |
| 資訊安全中心整合 | Yes | Yes | |
| Microsoft Entra auth/RBAC | 是 | No | |
| Calico 網路原則 | 是 | No | |
| 監視和記錄 | |||
| 整合式 Azure 監視 (深入解析、記錄、計量、警示) | 是 | No | |
| 主要節點的監視和補救 | Yes | Yes | |
| 叢集計量 | Yes | Yes | |
| Advisor 建議 | 是 | No | |
| 診斷設定 | Yes | Yes | |
| Kubernetes 控制平面記錄 | Yes | Yes | |
| 活頁簿 | 是 | No | |
| 叢集和節點 | |||
| 自動調整節點 (自動調整程式) | 是 | No | |
| 導向節點調整 | Yes | Yes | |
| 自動調整 Pod | Yes | Yes | |
| GPU 啟用 Pod | 是 | No | |
| 記憶體磁碟區支援 | Yes | Yes | |
| 多節點集區管理 | 是 | No | |
| Azure 容器實例整合與虛擬節點 | 是 | No | |
| 執行時間 SLA | 是 | No | |
| 隱藏的主要節點 | 是 | No | |
| 虛擬網絡和輸入 | |||
| 默認 VNET | Yes | Yes | |
| 自定義 VNET | Yes | Yes | |
| HTTP 輸入 | 是 | No | |
| 開發工具 | |||
| Helm | Yes | Yes | |
| Dev Studio | 是 | No | |
| DevOps 入門版 | 是 | No | |
| Docker 映像支援和私人容器登錄 | Yes | Yes | |
| 認證 | |||
| 由NCF 認證 | Yes | Yes | |
| 叢集生命週期管理 | |||
| AKS Ux | Yes | Yes | |
| AKS CLI (Windows 和 Linux) | Yes | Yes | |
| AKS API | Yes | Yes | |
| AKS 範本 | Yes | Yes | |
| AKS PowerShell | 是 | No |
Azure 與 Azure Stack Hub 之間的差異
Azure 和 Azure Stack Hub 上的 AKS 會共用相同的來源存放庫。 這兩者之間沒有概念性差異。 不過,在不同的環境中運作,在 Azure Stack Hub 上使用 AKS 時,會牢記差異。 大部分的差異都與位於客戶數據中心內的系統相關,以及 Azure Stack Hub 中尚未提供的功能相關。
客戶數據中心內已連線或中斷連線的 Azure Stack Hub
在這兩種情況下,Azure Stack Hub 都受到客戶的控制。 此外,客戶也可以在完全中斷連線的環境中部署 Azure Stack Hub。 您可能想要考慮下列因素:
- 針對運算子:
- 他們需要確保 AKS 服務和對應的映像可供租使用者使用。
- 在解決支援事件時,他們需要與租使用者和 Microsoft 支援服務 合作(例如收集戳記記錄)。 如需詳細資訊,請參閱操作員文章。
- 針對租使用者:
- 他們需要與戳記操作員共同作業,以要求戳記中無法使用的 AKS 基底映像或 AKS 服務。
- 他們也需要在支援案例期間與操作員和 Microsoft 支援服務 共同作業。 其中一項工作是使用此處提供的資訊收集 AKS 叢集相關記錄。
使用 CLI 或 PowerShell 連線到 Azure Stack Hub
當您使用 Azure CLI 連線至 Azure 時,CLI 二進位檔預設會使用 Microsoft Entra ID 進行驗證,以及適用於 API 的全域 Azure Resource Manager 端點。 您也可以搭配 Azure Stack Hub 使用 Azure CLI。 不過,您必須明確連線到 Azure Stack Hub Azure Resource Manager 端點,並使用 Microsoft Entra ID 或 Active Directory 同盟服務 (AD FS) 進行驗證。 原因是 Azure Stack Hub 的目的是要在企業內運作,而且它們可能會在中斷連線的情況下選擇 AD FS。
如需如何使用 powerShell Microsoft Entra ID 或 AD FS 身分識別連線到 Azure Stack Hub 的資訊,請參閱 以使用者身分使用 PowerShell 連線到 Azure Stack Hub。
請使用 此 帳戶搭配 Microsoft Entra ID 或 AD FS 身分識別來使用 Azure CLI 進行連線。
支援的平臺功能
Azure Stack Hub 支援全域 Azure 中可用的功能子集。 記下下列差異:
- 沒有標準Load Balancer。 Azure Stack Hub 僅支援基本負載平衡器,這表示下列功能相依於 Azure Stack Hub 上的 AKS 尚無法使用標準 Load Balancer:
- 沒有參數 api-server-authorized-ip-ranges </azure/aks/api-server-authorized-ip-ranges>
- 沒有參數 load-balancer-managed-ip-count /azure/aks/load-balancer-standard#scale-the-number-of-managed-outbound-public-ips
- 沒有參數 enable-private-cluster </azure/aks/private-clusters>
- 無叢集自動調整程式: </azure/aks/cluster-autoscaler>
- 沒有參數 enable-cluster-autoscaler
- az aks update not available.
- 沒有多個節點集區支援。 節點集區命令無法使用。
- 未啟用多節點集區作業的UI支援。
- 沒有 Azure 區域或 可用性區域
- 沒有可用性設定組,只有虛擬機擴展集
- 檢閱支援和不支援命令的命令清單。
支援的服務
缺少某些 Azure 服務會限制 Azure Stack Hub 上 AKS 上的一些功能選項:
- 沒有檔案服務。 如此一來,Azure Stack Hub 中的 Kubernetes 就不支援以檔案服務為基礎的磁碟區。
- 沒有 Azure Log Analytics 和 Azure Container Monitor。 只要已連線到因特網,任何 Kubernetes 叢集都可以連線到 Azure Container Monitor,如果在 Azure Stack Hub 本機沒有對等的服務中斷連線,就可以連線到 Azure Container Monitor。 因此,Azure Stack Hub 上的 AKS 中沒有 Azure Container Monitor 的整合式支援。
- 沒有 Azure DevOps。 由於此服務不適用於已中斷連線的 Azure Stack Hub,因此沒有整合式支援。
支援的 AKS API 和 Kubernetes 版本
在 Kubernetes 和 AKS API 支援的版本中,Azure Stack Hub AKS 通常會落後於 Azure 的情況。 這是因為客戶難以在自己的數據中心內執行出貨程序代碼。
在 Azure Stack Hub 上使用 AKS CLI 時,預設要變更的 Azure AKS CLI 參數值
鑒於上述兩個平臺之間的差異,用戶應該注意,在命令和在 Azure AKS 上運作的 API 中,某些預設值不在 Azure Stack Hub AKS 中。 例如:
| Common parameters | 備註 |
|---|---|
--service-principal --client-secret |
Azure Stack Hub 尚不支援受控識別;一律需要服務主體認證。 |
--load-balancer-sku basic |
Azure Stack Hub 尚不支持標準負載平衡器 (SLB)。 |
--location |
位置值專屬於客戶所選擇的位置值。 |
服務主體可由 Microsoft Entra ID 或 AD FS 提供
服務主體 (SPN) 是建立和管理 AKS 叢集的需求。 由於 Azure Stack Hub 可以從因特網以中斷連線模式部署,因此必須使用替代身分識別管理員來Microsoft Entra ID,因此會使用 Active Directory 同盟服務 (AD FS)。 Azure Stack Hub 租使用者如何建立 SPN 記載於此處: