將您的 AKS Edge Essentials 叢集連線至 Arc
本文說明如何將 AKS Edge Essentials 叢集連線至 Azure Arc,以便監視叢集在 Azure 入口網站 上的健全狀況。 如果您的叢集已連線到 Proxy,您可以使用 GitHub 存放庫中提供的腳本,將您的叢集連線到 Arc ,如這裡所述。
必要條件
- 線上到 Arc 之前,屬於訂用帳戶擁有者或參與者角色的基礎結構系統管理員必須:
- 在 Azure 訂用帳戶中啟用所有必要的資源提供者,例如 Microsoft.HybridCompute、Microsoft.GuestConfiguration、Microsoft.HybridConnectivity、Microsoft.Kubernetes、Microsoft.ExtendedLocation 和 Microsoft.KubernetesConfiguration。
- 建立並驗證 AKS Edge Essentials Azure 資源的資源群組。
- 若要連線到 Arc,Kubernetes 操作員需要 Kubernetes 叢集 - Azure Arc 上線 角色,才能在資源群組層級的身分識別。 若要與Arc中斷連線,操作員需要 資源群組層級身分識別的 Azure Kubernetes Service Arc 參與者角色 角色。 若要檢查您的存取層級,請流覽至 Azure 入口網站 上的訂用帳戶,選取左側的 [訪問控制][IAM],然後選取 [檢視我的存取權]。 如需管理資源群組的詳細資訊,請參閱 Azure 檔 。 具有擁有者或參與者角色的基礎結構系統管理員也可以執行動作,以聯機或中斷與Arc的連線。
- 除了這些必要條件之外,請確定您符合已啟用 Azure Arc 的 Kubernetes 的所有網路需求。
注意
您需要參與者角色,才能刪除資源群組內的資源。 與 Arc 中斷連線的命令將會失敗,而不需要此角色指派。
步驟 1:設定您的電腦
安裝相依性
在提升許可權的 PowerShell 視窗中執行下列命令,以在 PowerShell 中安裝相依性:
Install-Module Az.Resources -Repository PSGallery -Force -AllowClobber -ErrorAction Stop
Install-Module Az.Accounts -Repository PSGallery -Force -AllowClobber -ErrorAction Stop
Install-Module Az.ConnectedKubernetes -Repository PSGallery -Force -AllowClobber -ErrorAction Stop
步驟 2:設定您的 Azure 環境
在 Arc 區段底下的aksedge-config.json 檔案中提供 Azure 訂用帳戶的詳細資料,如下表所述。 若要使用已啟用 Azure Arc 的 Kubernetes 成功連線到 Azure,您需要內建 Microsoft.Kubernetes connected cluster role 的服務主體才能存取 Azure 上的資源。 如果您已經有服務主體標識碼和密碼,則可以更新aksedge-config.json檔案中的所有欄位。 如果您需要建立服務主體,您可以 遵循這裡的步驟。
重要
用戶端密碼是一種密碼形式。 適當的管理對於環境的安全性至關重要。
- 當您建立客戶端密碼時,請根據部署的註冊時間和範圍,設定非常短的到期時間。
- 請務必保護客戶端密碼值和組態檔免於一般存取。
- 請考慮,如果叢集的組態檔在已儲存用戶端密碼時進行備份,則客戶端密碼可供具有備份存取權的任何人使用。
- 註冊叢集之後,請從該叢集的組態檔中移除客戶端密碼。
- 在工作範圍內註冊所有叢集之後,您應該輪替客戶端密碼,並從您的 Microsoft Entra ID 環境中刪除服務主體。
| 屬性 | 值類型 | 描述 |
|---|---|---|
ClusterName |
字串 | 您叢集的名稱。 預設值是 hostname_cluster。 |
Location |
string | 資源群組的位置。 選擇最接近部署的位置。 |
SubscriptionId |
GUID | 您的訂用帳戶識別碼。 在 Azure 入口網站 中,選取您所使用的訂用帳戶,並將訂用帳戶標識符字串複製/貼到 JSON 中。 |
TenantId |
GUID | 您的租用戶識別碼。 在 Azure 入口網站 中,搜尋 Microsoft Entra ID,這應該會帶您前往 [預設目錄] 頁面。 您可以從這裡將租使用者識別碼字串複製/貼到 JSON 中。 |
ResourceGroupName |
字串 | 用來裝載 AKS 邊緣程式集 Azure 資源的 Azure 資源群組名稱。 您可以使用現有的資源群組,或如果您新增名稱,系統就會為您建立一個資源群組。 |
ClientId |
GUID | 提供要用作認證之 Azure 服務主體的應用程式識別碼。 AKS Edge Essentials 會使用此服務主體將叢集連線到 Arc。您可以在 Azure 入口網站 的 [Microsoft Entra 資源] 頁面中使用 [應用程式註冊] 頁面來列出和管理租使用者中的服務主體。 請注意,服務主體需要 訂用帳戶或資源群組層級的 Kubernetes 叢集 - Azure Arc 上線 角色。 如需詳細資訊,請參閱 Microsoft服務主體的 Entra 身分識別需求。 |
ClientSecret |
字串 | 服務主體的密碼。 |
注意
您只需要針對每個 Azure 訂用帳戶執行此設定一次。 您不需要針對每個 Kubernetes 叢集重複此程式。
步驟 3:將您的叢集連線至 Arc
執行 Connect-AksEdgeArc 以安裝和將現有的叢集連線到已啟用 Arc 的 Kubernetes:
# Connect Arc-enabled kubernetes
Connect-AksEdgeArc -JsonConfigFilePath .\aksedge-config.json
注意
此步驟最多可能需要 10 分鐘的時間,PowerShell 可能會卡在建立適用於 的 your cluster nameAzure 連線 Kubernetes 上。 PowerShell 會在程式完成時輸出 True 並返回提示。
步驟 4:檢視 Azure 中的 AKS Edge Essentials 資源
程式完成後,如果您瀏覽至資源群組,您可以在 Azure 入口網站 中檢視叢集:
在左側面板中,選取 [Kubernetes 資源] 底下的 [命名空間] 選項 (預覽):
若要檢視 Kubernetes 資源,您需要持有人令牌。
您也可以執行
Get-AksEdgeManagedServiceToken來擷取服務令牌。
現在您可以檢視叢集上的資源。 [ 工作負載] 選項會顯示在叢集中執行的 Pod。
kubectl get pods --all-namespaces
中斷與 Arc 的連線
執行 Disconnect-AksEdgeArc 以中斷與已啟用Arc的 Kubernetes 連線。
# Disconnect Arc-enabled kubernetes
Disconnect-AksEdgeArc -JsonConfigFilePath .\aksedge-config.json