適用於使用者的 Azure Stack Hub 上的 Azure Kubernetes Service 概觀
重要
先前為預覽功能的 Azure Stack Hub 上的 Azure Kubernetes Service 已停止,不再受到支援。 如需了解 Azure Stack Hub 上的 Kubernetes 解決方案,請參閱 AKS 引擎 的文件。
Azure Kubernetes Service (AKS) 可讓您輕鬆地在 Azure 和 Azure Stack Hub 中部署 Kubernetes 叢集。 AKS 可減少管理 Kubernetes 叢集的複雜度和作業額外負荷。
作為受控 Kubernetes 服務,Azure Stack Hub 會處理重要工作,例如健康情況監視,並協助您維護。 Azure Stack Hub 團隊負責管理用於維護叢集的映像檔。 叢集管理員只需要視需要套用更新。 服務不需額外費用。 AKS 是免費的;您只需支付在叢集內使用 VM(主要和代理程序節點) 的費用。 使用比 AKS 引擎 更簡單,因為它會移除 AKS 引擎所需的一些手動工作。
Azure Stack Hub 上的 AKS
您可以使用相同的 Azure CLI、Azure Stack Hub 使用者入口網站、Azure Resource Manager 範本和 REST API,在 Azure 雲端上管理 AKS 叢集。 當您部署 AKS 叢集時,Kubernetes 主要節點和所有節點都會為您部署和設定。
如需 Kubernetes 概念的詳細資訊,請參閱 Kubernetes 檔。 如需在全域 Azure 上的 AKS 服務的完整文件,請參閱 Azure Kubernetes Service 上的檔。
使用者角色和責任
Azure Stack Hub 是一種內部部署系統,客戶可以在其數據中心內用來執行其雲端原生工作負載。 這些系統支援兩種使用者類型:雲端操作員和使用者。
以下任務由 Azure Stack Hub 操作員負責:
- 請確定 Azure Stack Hub 實例中提供 Azure Kubernetes Service 基底映射。 如有必要,請從 Azure 下載它們。
- 請確定 Azure Kubernetes Service 適用於客戶方案和使用者訂用帳戶,如同 Azure Stack Hub 中任何其他服務的情況一樣。
- 監控 Azure Kubernetes Service,並處理任何警示和相關聯的修正措施。
- 如需操作員工作的詳細資訊,請參閱 安裝和提供 Azure Stack Hub 上的 Azure Kubernetes Service
下列任務對應於使用者,也就是租戶 AKS 叢集管理員:
- 監控 Kubernetes 叢集代理的健康狀況,並處理任何事件及其相關補救措施。 即使代理程式是在租使用者訂用帳戶內建立,服務仍會監視其狀態,並視需要執行補救步驟。 不過,在某些情況下,可能需要租使用者叢集管理員將叢集恢復為狀況良好的狀態。
- 使用 Azure Kubernetes Service 設施來管理叢集的生命週期,以進行建立、升級和調整作業。
- 維護作業:部署應用程式、備份和還原、疑難解答、記錄集合和監視應用程式。
- 如需租用戶作業的詳細資訊,請參閱 搭配 CLI 在 Azure Stack Hub 上使用 Azure Kubernetes Service
特徵比較
下表提供全域 Azure 中 AKS 的功能概觀,與 Azure Stack Hub 中的功能相比。
| 面積圖 | 功能 | Azure AKS | Azure Stack Hub AKS |
|---|---|---|---|
| 存取安全性 | |||
| Kubernetes RBAC | Yes | Yes | |
| 資訊安全中心整合 | Yes | Yes | |
| Microsoft Entra auth/RBAC | Yes | 不 | |
| Calico 網路原則 | Yes | 不 | |
| 監視和記錄 | |||
| 整合式 Azure 監視(深入解析、記錄、計量、警示) | Yes | 不 | |
| 主要節點的監視和補救 | Yes | Yes | |
| 叢集計量 | Yes | Yes | |
| 顧問建議 | Yes | 否 | |
| 診斷設定 | Yes | Yes | |
| Kubernetes 控制平面記錄 | Yes | Yes | |
| 活頁簿 | Yes | 不 | |
| 叢集和節點 | |||
| 自動節點調整(自動調整器) | Yes | 不 | |
| 導向節點縮放 | Yes | Yes | |
| Pod 自動擴縮 | Yes | Yes | |
| GPU 啟用 Pod | Yes | 不 | |
| 儲存磁碟區支援 | Yes | Yes | |
| 多個節點集區管理 | Yes | 不 | |
| Azure 容器實例整合和虛擬節點 | Yes | 不 | |
| 正常運行時間 SLA | Yes | 不 | |
| 隱藏的主要節點 | Yes | 不 | |
| 虛擬網路和入口流量 | |||
| 默認 VNET | Yes | Yes | |
| 自定義 VNET | Yes | Yes | |
| HTTP 網路入口 | Yes | 否 | |
| 開發工具 | |||
| Helm | Yes | Yes | |
| Dev Studio | Yes | 不 | |
| DevOps 入門版 | Yes | 不 | |
| Docker 映像支援和私人容器登錄 | Yes | Yes | |
| 認證 | |||
| 由NCF 認證 | Yes | Yes | |
| 叢集生命週期管理 | |||
| AKS Ux | Yes | Yes | |
| AKS CLI (Windows 和 Linux) | Yes | Yes | |
| AKS API | Yes | Yes | |
| AKS 範本 | Yes | Yes | |
| AKS PowerShell | Yes | 不 |
Azure 與 Azure Stack Hub 之間的差異
Azure 和 Azure Stack Hub 上的 AKS 會共用相同的來源存放庫。 這兩者之間沒有概念性差異。 然而,在不同的環境中運作時,在 Azure Stack Hub 上使用 AKS 時需要注意一些差異。 大部分的差異都與位於客戶數據中心內的系統相關,以及 Azure Stack Hub 中尚未提供的功能相關。
客戶資料中心中已連接或中斷連接的 Azure Stack Hub
在這兩種情況下,Azure Stack Hub 都受到客戶的控制。 此外,客戶也可以在完全中斷連線的環境中部署 Azure Stack Hub。 您可能想要考慮下列因素:
- 運營商:
- 請確定租使用者可以使用 AKS 服務和對應的映像。
- 在解決支援事件時,與租戶和 Microsoft 支援合作(例如,收集戳記記錄)。 如需詳細資訊,請參閱操作員相關文章。
- 租戶:
- 請與戳記操作員合作,要求戳記中無法使用 AKS 基底映像或 AKS 服務。
- 也請與操作員合作,並在支援案件期間配合 Microsoft 支援。 其中一項工作是使用這裡所提供的 資訊來收集 AKS 叢集相關記錄,。
使用 CLI 或 PowerShell 連線到 Azure Stack Hub
當您使用 Azure CLI 連線至 Azure 時,CLI 二進位檔預設會使用 Microsoft Entra ID 進行驗證,以及適用於 API 的全域 Azure Resource Manager 端點。 您也可以搭配 Azure Stack Hub 使用 Azure CLI。 不過,您必須明確連線到 Azure Stack Hub Azure Resource Manager 端點,並使用 Microsoft Entra ID 或 Active Directory 同盟服務 (AD FS) 進行驗證。 原因是 Azure Stack Hub 的目的是要在企業內運作,而且它們可能會在中斷連線的情況下選擇 AD FS。
- 如需有關如何使用 PowerShell 透過 Microsoft Entra ID 或 AD FS 身分識別連線到 Azure Stack Hub 的相關資訊,請參閱 以使用者身分使用 PowerShell 連線到 Azure Stack Hub。
- 請參閱本文,以搭配 Microsoft Entra ID 或 AD FS 身分識別來使用 Azure CLI 進行連線。
支援的平臺功能
Azure Stack Hub 支援全域 Azure 中可用的功能子集。 請注意下列差異:
- 沒有標準負載均衡器。 Azure Stack Hub 僅支援基本負載平衡器。 此支援表示 Azure Stack Hub 上的 AKS 尚未提供下列相依於標準負載平衡器的功能:
- 沒有參數適用於 API 伺服器的授權 IP 範圍。
- 負載平衡器的受控IP計數沒有對應的參數。
- 啟用私人叢集時沒有參數。
- 沒有 叢集自動縮放器。
- 無法使用 az aks update。
- 不支援多個節點集區。 節點集區命令無法取得。
- 未啟用多個節點集區作業的UI支援。
- 沒有 Azure 區域或可用性區域。
- 沒有可用性設定集,只有虛擬機器規模設定集。
- 檢閱支援和不支援命令的命令清單。
支援的服務
缺少某些 Azure 服務會限制 Azure Stack Hub 上的 AKS 中的某些功能選項:
- 沒有檔案服務。 Azure Stack Hub 上的 Kubernetes 中不支援檔案服務型磁碟區。
- 沒有 Azure Log Analytics 和 Azure Container Monitor。 只要任何 Kubernetes 叢集連線到因特網,就可以連線到 Azure Container Monitor。 如果中斷連線,Azure Stack Hub 中本地沒有相應的服務。 因此,Azure Stack Hub 上的 AKS 中沒有 Azure 容器監視器的整合式支援。
- 沒有 Azure DevOps。 由於此服務不適用於已中斷連線的 Azure Stack Hub,因此沒有整合式支援。
支援的 AKS API 和 Kubernetes 版本
Azure Stack Hub 上的 AKS 通常會落在 Kubernetes 和 AKS API 支援的版本中落後於 Azure。 缺乏支援是因為將程式碼部署到客戶自己的數據中心運行有困難。
在 Azure Stack Hub 上使用 AKS CLI 時,預設要變更的 Azure AKS CLI 參數值
假設這兩個平臺之間的差異,在 Azure AKS 上運作的命令和 API 中的一些參數預設值不適用於 Azure Stack Hub AKS。 例如:
| 常見參數 | 備註 |
|---|---|
--service-principal --client-secret |
Azure Stack Hub 尚不支援受控識別;一律需要服務主體認證。 |
--location |
位置值專屬於客戶所選擇的。 |
服務主體可由 Microsoft Entra ID 或 AD FS 提供
服務主體 (SPN) 是建立和管理 AKS 叢集的需求。 由於 Azure Stack Hub 可以以中斷連線模式從互聯網部署,因此必須有替代的身分識別管理員,以便 Microsoft Entra ID 可以使用。 因此,會使用 Active Directory 同盟服務 (AD FS)。 Azure Stack Hub 租使用者如何建立 SPN 記載於此處: