Požadavky na systém pro Azure Kubernetes Service v Azure Stack HCI
Platí pro: Azure Stack HCI, verze 21H2 a 20H2; Windows Server 2022 Datacenter, Windows Server 2019 Datacenter
Tento článek popisuje požadavky na nastavení Azure Kubernetes Service v Azure Stack HCI nebo na Windows Serveru 2019 Datacenter a jeho použití k vytváření clusterů Kubernetes. Přehled těchto Azure Kubernetes Service v Azure Stack HCI najdete v tématu AKS Azure Stack HCI přehledu.
Určení požadavků na hardware
Microsoft doporučuje zakoupit ověřené Azure Stack HCI a softwarové řešení od našich partnerů. Tato řešení jsou navržena, sestavena a ověřena v naší referenční architektuře, aby se zajistila kompatibilita a spolehlivost, abyste se rychle získejte z provozu. Měli byste zkontrolovat, jestli systémy, komponenty, zařízení a ovladače, které používáte, Windows Server 2019 certifikované podle katalogu Windows Serveru. Ověřená řešení Azure Stack HCI na webu řešení pro správu.
Obecné požadavky
Aby Azure Kubernetes Service v Azure Stack HCI nebo Windows Server 2019 Datacenter fungoval optimálně v prostředí Active Directory, ujistěte se, že jsou splněné následující požadavky:
Ujistěte se, že je nastavená časová synchronizace a že rozdíl mezi všemi uzly clusteru a řadičem domény není delší než 2 minuty. Informace o nastavení synchronizace času najdete v Windows Time Service.
Ujistěte se, že uživatelské účty, které přidávají aktualizace a spravují clustery datacentra Azure Kubernetes Service v Azure Stack HCI nebo Windows Serveru 2019, mají ve službě Active Directory správná oprávnění. Pokud ke správě zásad skupiny pro servery a služby používáte organizační jednotky, budou uživatelské účty vyžadovat oprávnění k zobrazení, čtení, úpravám a odstraňování všech objektů v organizační jednotce.
Pro servery a služby, ke kterým přidáte clustery datacentra Azure Kubernetes Service v Azure Stack HCI nebo Windows Server 2019, doporučujeme použít samostatnou OU. Použití samostatné jednotky OU umožňuje řídit přístup a oprávnění s větší členitostí.
Pokud používáte šablony objektů zásad skupiny v kontejnerech ve službě Active Directory, ujistěte se, že nasazení AKS Azure Stack HCI zásady vyloučené. V další verzi bude k dispozici serverové hardencí.
Požadavky na Azure
Účet a předplatné Azure
Pokud ještě nemáte účet Azure, vytvořte si ho. Můžete použít existující předplatné libovolného typu:
- Bezplatný účet s kredity Azure pro studentynebo Visual Studio předplatitele
- Předplatné s platbou při platbě pomocí platební karty
- Předplatné získané prostřednictvím smlouva Enterprise (EA)
- Předplatné získané prostřednictvím Cloud Solution Provider (CSP)
Oprávnění, role a úroveň přístupu Azure AD
Musíte mít dostatečná oprávnění k registraci aplikace ve vašem tenantovi Azure AD.
Pokud chcete zkontrolovat, jestli máte dostatečná oprávnění, postupujte podle následujících informací:
- Přejděte na stránku Azure Portal v části Role a správci Azure Active Directory a zkontrolujte svou roli.
- Pokud je vaše role Uživatel, musíte zajistit, aby aplikace mohli registrovat uživatelé bez oprávnění správce.
- Pokud chcete zkontrolovat, jestli můžete registrovat aplikace, přejděte do části Nastavení uživatele v Azure Active Directory a zkontrolujte, jestli máte oprávnění k registraci aplikace.
Pokud je nastavení registrace aplikací nastaveno na Ne,mohou tyto typy aplikací registrovat pouze uživatelé s rolí správce. Další informace o dostupných rolích správce a konkrétních oprávněních v Azure AD, která jsou udělena jednotlivým rolím, najdete v tématu Předdefinované role Azure AD. Pokud má váš účet přiřazenou roli Uživatel, ale nastavení registrace aplikace je omezené na uživatele s právy pro správu, požádejte správce, aby vám buď přiřadil jednu z rolí správce, která může vytvářet a spravovat všechny aspekty registrace aplikací, nebo aby uživatelům umožnil registrovat aplikace.
Pokud nemáte dostatečná oprávnění k registraci aplikace a váš správce vám tato oprávnění nemůže udělit, nejjednodušší způsob, jak nasadit AKS v Azure Stack HCI, je požádat správce Azure, aby vytvořil objekt služby se správnými oprávněními. Správci se mohou podívat do následující části, kde se dozví, jak vytvořit objekt služby.
Úroveň přístupu a role předplatného Azure
Pokud chcete zkontrolovat úroveň přístupu, přejděte do svého předplatného, klikněte na Řízení přístupu (IAM) na levé straně Azure Portal a pak klikněte na Zobrazit můj přístup.
- Pokud k nasazení hostitele AKS Windows clusteru úloh AKS používáte Centrum pro správu Azure, musíte mít předplatné Azure, ve kterém jste vlastníkem.
- Pokud k nasazení hostitele AKS nebo clusteru úloh AKS používáte PowerShell, uživatel, který cluster registruje, musí mít alespoň jednu z následujících možností:
- Uživatelský účet s předdefinovou rolí Vlastník.
- Objekt služby s jednou z následujících úrovní přístupu:
- Integrovaný cluster Kubernetes – Azure Arc onboarding
- Integrovaná role Přispěvatel
- Předdefinová role Vlastník
Pokud vaše předplatné Azure prochází přes EA nebo CSP, nejjednodušší způsob, jak nasadit AKS v Azure Stack HCI, je požádat správce Azure o vytvoření objektu služby se správnými oprávněními. Správci si mohou v následující části zjistit, jak vytvořit objekt služby.
Volitelné: Vytvoření nového objektu služby
Spuštěním následujících kroků vytvořte nový instanční objekt s předdefinovou rolí clusteru připojenou k Microsoft.Kubernetes. Upozorňujeme, že pouze vlastníci předplatného mohou vytvářet objekty služby se správným přiřazením role. Úroveň přístupu můžete zkontrolovat tak, že přejdete do svého předplatného, kliknete na Řízení přístupu (IAM) na levé straně Azure Portal a pak kliknete na Zobrazit můj přístup.
Nainstalujte a importujte následující Azure PowerShell moduly:
Install-Module -Name Az.Accounts -Repository PSGallery -RequiredVersion 2.2.4
Import-Module Az.Accounts
Install-Module -Name Az.Resources -Repository PSGallery -RequiredVersion 3.2.0
Import-Module Az.Resources
Install-Module -Name AzureAD -Repository PSGallery -RequiredVersion 2.0.2.128
Import-Module AzureAD
Zavřete všechna okna PowerShellu a znovu otevřete novou relaci pro správu.
Přihlaste se k Azure pomocí Připojení-AzAccount PowerShellu:
Connect-AzAccount
Spuštěním příkazu Set-AzContext nastavte předplatné, které chcete použít k registraci hostitele AKS pro fakturaci, jako výchozí předplatné.
Set-AzContext -Subscription myAzureSubscription
Spuštěním příkazu PowerShellu Get-AzContext ověřte správnost kontextu přihlášení. Ověřte, že k registraci hostitele AKS pro fakturaci chcete použít předplatné, tenanta a účet.
Get-AzContext
Name Account SubscriptionName Environment TenantId
---- ------- ---------------- ----------- --------
myAzureSubscription (92391anf-... user@contoso.com myAzureSubscription AzureCloud xxxxxx-xxxx-xxxx-xxxxxx
Spuštěním příkazu PowerShellu New-AzADServicePrincipal vytvořte objekt služby. Tento příkaz vytvoří objekt služby s rolí Připojený cluster Microsoft.Kubernetes a nastaví obor na úrovni předplatného. Další informace o vytváření objektů služby najdete v tématu vytvoření objektu služby Azure pomocí Azure PowerShell.
$sp = New-AzADServicePrincipal -role "Microsoft.Kubernetes connected cluster"
Spuštěním následujícího příkazu načtěte heslo pro tento objekt služby:
$secret = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret))
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"
Z výše uvedeného výstupu teď máte k dispozici ID aplikace a tajný kód při nasazování AKS na Azure Stack HCI. Tyto položky byste si měli poznamenat a bezpečně je uložit. Po vytvoření by se měl v Azure Portalv části Předplatná ,Access Controla přiřazení rolí zobrazit váš nový instanční objekt.
Skupina prostředků Azure
Před registrací musíte mít skupinu prostředků Azure v USA – východ, jihovýchodní Asii nebo Západní Evropa Azure dostupnou.
Požadavky na výpočetní prostředky
Testovací prostředí: Cluster Azure Stack HCI nebo cluster s podporou převzetí služeb při selhání Windows Serveru 2019 Datacenter s maximálně čtyřmi servery v clusteru. Doporučujeme, aby každý server v clusteru měl alespoň 8 (doporučených 16) jader procesoru a alespoň 256 GB paměti RAM.
Pro produkční prostředí: Cluster Azure Stack HCI nebo cluster Windows Server 2019 Datacenter s podporou převzetí služeb při selhání s maximálně čtyřmi servery v clusteru. Doporučujeme, aby každý server v clusteru měl alespoň 16 (doporučených 32) jader procesoru a alespoň 256 GB paměti RAM. Konečná velikost bude záviset na aplikaci a počtu pracovních uzlů, které plánujete nasadit na Azure Stack HCI clusteru.
I když technicky můžete spustit Azure Kubernetes Service na jednom uzlu Windows Server 2019 Datacenter, nedoporučujeme to. Pro účely vyhodnocení ale můžete Azure Kubernetes Service na jednom uzlu Windows Server 2019 Datacenter.
Další požadavky na výpočetní Azure Kubernetes Service v Azure Stack HCI jsou v souladu s Azure Stack HCI požadavkům zákazníka. Další Azure Stack HCI o požadavcích na server najdete v Azure Stack HCI požadavky na systém.
Je nutné nainstalovat Azure Stack HCI operační systém na každý server v clusteru pomocí výběrů oblasti a jazyka EN-US. V tuto chvíli není možné tato nastavení po instalaci změnit.
Obecné požadavky na síť
Následující požadavky platí pro cluster Azure Stack HCI i cluster Windows Server 2019 Datacenter:
Pokud používáte centrum pro správu Windows, ověřte, že máte nakonfigurovaný existující externí virtuální přepínač. U Azure Stack HCI clusterů musí být tento přepínač a jeho název ve všech uzlech clusteru stejné.
Ověřte, že jste na všech síťových adaptérech zakázali protokol IPv6.
Pro úspěšné nasazení musí Azure Stack HCI clusterů a virtuální počítače clusteru Kubernetes mít externí připojení k internetu.
Ujistěte se, že všechny podsítě, které definujete pro cluster, jsou směrovatelné mezi sebou a na internet.
Ujistěte se, že existuje síťové připojení mezi Azure Stack HCI hostiteli a virtuálními počítače tenanta.
Překlad názvů DNS je nutný pro to, aby všechny uzly měly možnost vzájemně komunikovat.
(Doporučeno) Povolte dynamické aktualizace DNS ve vašem prostředí DNS, aby služba AKS na Azure Stack HCI mohla zaregistrovat obecný název clusteru cloudového agenta v systému DNS ke zjišťování. Pokud dynamický DNS není možné, použijte kroky uvedené v části Set-AksHciConfig.
Přiřazení IP adresy
V AKS v Azure Stack HCI se virtuální sítě používají k přidělování IP adres prostředkům Kubernetes, které je vyžadují, jak je uvedeno výše. Můžete si vybrat ze dvou síťových modelů v závislosti na požadovanéM AKS na Azure Stack HCI síťové architektuře.
Poznámka
Architektura virtuálních sítí, která je zde definovaná pro AKS v Azure Stack HCI nasazeních, se liší od základní architektury fyzické sítě ve vašem datovém centru.
Statické sítě IP – Virtuální síť přiděluje statické IP adresy serveru rozhraní API clusteru Kubernetes, uzlům Kubernetes, základním virtuálním počítačům, nástrojům pro vyrovnávání zatížení a službám Kubernetes, které spustíte nad clusterem.
Sítě DHCP – Virtuální síť přiděluje dynamické IP adresy uzlům Kubernetes, základním virtuálním počítačům a nástrojům pro vyrovnávání zatížení pomocí serveru DHCP. Serveru rozhraní API clusteru Kubernetes a službám Kubernetes, které spustíte nad clusterem, se stále přidělují statické IP adresy.
Minimální rezervace IP adresy
Pro vaše nasazení byste měli rezervovat minimálně následující počet IP adres:
| Typ clusteru | Uzel řídicí roviny | Pracovní uzel | Pro aktualizační operace | Nástroj pro vyrovnávání zatížení |
|---|---|---|---|---|
| Hostitel AKS | 1 IP adresa | NA | 2 IP adresa | NA |
| Cluster úloh | 1 IP adresa na uzel | 1 IP adresa na uzel | 5 IP adres | 1 IP adresa |
Kromě toho byste měli pro fond virtuálních IP adres rezervovat následující počet IP adres:
| Typ prostředku | Počet IP adres |
|---|---|
| Server rozhraní API clusteru | 1 na cluster |
| Služby Kubernetes | 1 na službu |
Jak vidíte, počet požadovaných IP adres je proměnlivý v závislosti na AKS v architektuře Azure Stack HCI a počtu služeb, které v clusteru Kubernetes spustíte. Doporučujeme pro vaše nasazení rezervaci celkem 256 IP adres (/24 podsítí).
Další informace o požadavcích na síť najdete v části Koncepty sítí uzlů v AKS v Azure Stack HCI a koncepty sítí kontejnerů v AKS na Azure Stack HCI.
Požadavky na síťový port a adresu URL
Při vytváření clusteru Azure Kubernetes na Azure Stack HCI se na každém serveru v clusteru automaticky otevře následující porty brány firewall.
| Port brány firewall | Popis |
|---|---|
| 45000 | Port serveru wssdagent GPRC |
| 45001 | Ověřovací port wssdagent GPRC |
| 55000 | Port serveru wssdcloudagent GPRC |
| 65000 | Port ověřování GPRC wssdcloudagent |
Výjimky adresy URL brány firewall jsou potřeba pro Windows Admin Center a všechny uzly v Azure Stack HCI clusteru.
| URL | Port | Poznámky |
|---|---|---|
| msk8s.api.cdp.microsoft.com | 443 | Používá se při stahování AKS v Azure Stack HCI katalogu produktů, produktových bitů a imagí operačního systému ze systému souborů SFS. Vyvolá se při Set-AksHciConfig spuštění a kdykoli si ho stáhnete ze systému souborů SFS. |
| msk8s.b.tlu.dl.delivery.mp.microsoft.com | 80 | Používá se při stahování AKS v Azure Stack HCI katalogu produktů, produktových bitů a imagí operačního systému ze systému souborů SFS. Vyvolá se při Set-AksHciConfig spuštění a kdykoli si ho stáhnete ze systému souborů SFS. |
| msk8s.f.tlu.dl.delivery.mp.microsoft.com | 80 | Používá se při stahování AKS v Azure Stack HCI katalogu produktů, produktových bitů a imagí operačního systému ze systému souborů SFS. Vyvolá se při Set-AksHciConfig spuštění a kdykoli si ho stáhnete ze systému souborů SFS. |
| login.microsoftonline.com | 443 | Používá se při přihlašování k Azure při spuštění Set-AksHciRegistration . |
| login.windows.net | 443 | Používá se při přihlašování k Azure při spuštění Set-AksHciRegistration . |
| management.azure.com | 443 | Používá se při přihlašování k Azure při spuštění Set-AksHciRegistration . |
| www.microsoft.com | 443 | Používá se při přihlašování k Azure při spuštění Set-AksHciRegistration . |
| msft.sts.microsoft.com | 443 | Používá se při přihlašování k Azure při spuštění Set-AksHciRegistration . |
| graph.windows.net | 443 | Používá se při spuštění Install-AksHci . |
| ecpacr.azurecr.io | 443 | Vyžaduje se pro vyžadování imagí kontejneru při spuštění Install-AksHci . |
| *.blob.core.windows.net Koncový bod USA: wus2replica*.blob.core.windows.net |
443 | Vyžaduje se pro vyžadování imagí kontejneru při spuštění Install-AksHci . |
| mcr.microsoft.com | 443 | Vyžaduje se pro vyžadování imagí kontejneru při spuštění Install-AksHci . |
| *.mcr.microsoft.com | 443 | Vyžaduje se pro vyžadování imagí kontejneru při spuštění Install-AksHci . |
| *.data.mcr.microsoft.com | 443 | Vyžaduje se pro vyžadování imagí kontejneru při spuštění Install-AksHci . |
| akshci.azurefd.net | 443 | Vyžaduje se pro AKS Azure Stack HCI fakturaci při spuštění Install-AksHci . |
Poznámka
Vzhledem k tomu, že cluster pro správu (hostitel AKS) používá Azure Arc k fakturaci, musíte při ověřování clusterů Kubernetes s podporou Azure Arc požadavky na síť. Měli byste si také zkontrolovat Azure Stack HCI adresy URL.
Storage požadavky
Následující implementace úložiště jsou podporovány Azure Kubernetes Service v Azure Stack HCI:
| Name | Typ úložiště | Požadovaná kapacita |
|---|---|---|
| Azure Stack HCI Cluster | Sdílené svazky clusteru | 1 TB |
| Windows s podporou převzetí služeb při selhání datacentra serveru 2019 | Sdílené svazky clusteru | 1 TB |
| Jedno node Windows Server 2019 Datacenter | Přímo připojené Storage | 500 GB |
Pro Azure Stack HCI clusteru máte dvě podporované konfigurace úložiště pro spouštění úloh virtuálních počítačů. Hybridní úložiště, které vyvažuje výkon a kapacitu pomocí úložiště s celým flash diskem a pevných disků (PEVNÉ disky) a úložiště s celým diskem flash, které maximalizuje výkon pomocí disků SSD (solid-state drives) nebo NVMe. Systémy, které mají pouze úložiště založené na pevném disku, Azure Stack HCI nepodporují, a proto se nedoporučuje používat AKS na Azure Stack HCI. Další informace o doporučených konfiguracích jednotky najdete v Azure Stack HCI dokumentaci. Všechny systémy ověřené v katalogu Azure Stack HCI spadají do jedné ze dvou podporovaných konfigurací úložiště uvedených výše.
Cluster založený Windows Server 2019 Datacenter můžete nasadit s místním úložištěm nebo úložištěm založeným na síti SAN. Pro místní úložiště se doporučuje použít integrované řešení Prostory úložiště Directnebo ekvivalentní certifikované virtuální řešení SAN k vytvoření hyperkonverrgované infrastruktury, která bude prezentovat sdílené svazky clusteru pro použití úlohami. U Prostory úložiště Direct je nutné, aby vaše úložiště bylo hybridní (flash + HDD), které vyvažuje výkon a kapacitu, nebo vše flash (SSD, NVMe), které maximalizuje výkon. Pokud se rozhodnete nasadit s úložištěm založeným na síti SAN, ujistěte se, že vaše úložiště SAN dokáže poskytovat dostatečný výkon pro spouštění několika úloh virtuálních počítačů. Starší úložiště SAN založené na pevném disku nemusí poskytovat požadované úrovně výkonu pro spouštění více úloh virtuálních počítačů a může dojít k problémům s výkonem a časovým limitům.
Pro nasazení s jedním uzlem Windows Server 2019 s využitím místního úložiště se důrazně doporučuje používat úložiště typu all-flash (SSD, NVMe) k zajištění požadovaného výkonu pro hostování více virtuálních počítačů na jednom fyzickém hostiteli. Bez úložiště typu flash může nižší úroveň výkonu na hddech způsobit problémy s nasazením a časové limity.
Kontrola maximálních podporovaných specifikací hardwaru
Azure Kubernetes Service v Azure Stack HCI nasazení, která překračují následující specifikace, se nepodporují:
| Prostředek | Maximum |
|---|---|
| Fyzické servery na cluster | 4 |
| Clustery Kubernetes | 4 |
| Celkový počet virtuálních počítače | 200 |
Windows pro centrum pro správu
Windows Admin Center je uživatelské rozhraní pro vytváření a správu Azure Kubernetes Service v Azure Stack HCI. Pokud chcete Windows Admin Center s Azure Kubernetes Service v Azure Stack HCI, musíte splnit všechna kritéria uvedená v následujícím seznamu.
Tady jsou požadavky na počítač, na Windows Admin Center:
- Windows 10 nebo Windows Server
- Zaregistrováno v Azure
- Ve stejné doméně jako cluster Azure Stack HCI nebo Windows Server 2019 Datacenter
- Předplatné Azure, ve kterém jste vlastníkem. Úroveň přístupu můžete zkontrolovat tak, že přejdete do svého předplatného a kliknete na Řízení přístupu (IAM) na levé straně Azure Portal a pak kliknete na Zobrazit můj přístup.
Další kroky
Až budete mít splněné všechny výše uvedené požadavky, můžete nastavit hostitele Azure Kubernetes Service na Azure Stack HCI pomocí: