Nejčastější dotazy – Kubernetes s podporou Azure Arc a GitOps

  • Článek

Tento článek se zabývá nejčastějšími dotazy k Kubernetes a GitOps s podporou Azure Arc.

Jaký je rozdíl mezi Kubernetes s podporou Azure Arc a službou Azure Kubernetes Service (AKS)?

AKS je spravovaná nabídka Kubernetes v Azure. AKS zjednodušuje nasazení spravovaného clusteru Kubernetes v Azure tím, že přesměruje velkou část složitosti a provozní režie do Azure. Vzhledem k tomu, že hlavní servery Kubernetes spravuje Azure, spravujete a udržujete pouze uzly agenta.

Kubernetes s podporou Azure Arc umožňuje rozšířit možnosti správy Azure (jako je Azure Monitor a Azure Policy) připojením clusterů Kubernetes k Azure. Udržujete samotný základní cluster Kubernetes.

Musím připojit clustery AKS spuštěné v Azure ke službě Azure Arc?

Ve většině scénářů se v současné době připojení clusteru Azure Kubernetes Service (AKS) ke službě Azure Arc nevyžaduje. Možná budete chtít připojit cluster ke spouštění určitých služeb s podporou Azure Arc, jako jsou App Services a Datové služby nad clusterem. Můžete to provést pomocí funkce vlastních umístění Kubernetes s podporou Azure Arc.

Mám ke službě Azure Stack Edge připojit cluster AKS-HCI a clustery Kubernetes?

Připojení clusteru AKS-HCI nebo clusterů Kubernetes ve službě Azure Stack Edge do Azure Arc poskytuje clustery se reprezentací prostředků v Azure Resource Manageru. Tato reprezentace prostředků rozšiřuje možnosti, jako je Konfigurace clusteru, Azure Monitor a Azure Policy (Gatekeeper) do připojených clusterů Kubernetes.

Pokud je cluster Kubernetes s podporou Služby Azure Arc ve službě Azure Stack Edge, AKS v Azure Stack HCI (>= aktualizace z dubna 2021) nebo AKS ve Windows Serveru 2019 Datacenter (>= aktualizace z dubna 2021), konfigurace Kubernetes se započítá bez poplatků.

Návody vypršení platnosti prostředků Kubernetes s podporou Služby Azure Arc?

Spravovanou identitu přiřazenou systémem přidruženou k clusteru Kubernetes s podporou Služby Azure Arc používají jenom agenti Azure Arc ke komunikaci se službami Azure Arc. Certifikát přidružený k této spravované identitě přiřazené systémem má časový interval vypršení platnosti 90 dnů a agenti se pokusí tento certifikát obnovit mezi 46. dnem 90. dne. Abyste se vyhnuli vypršení platnosti certifikátu spravované identity, ujistěte se, že cluster je online alespoň jednou mezi 46. dnem a 90. dnem, aby bylo možné certifikát obnovit.

Pokud vyprší platnost certifikátu spravované identity, prostředek se považuje za Expired prostředek a všechny funkce Azure Arc (například konfigurace, monitorování a zásady) přestanou na clusteru fungovat.

Pokud chcete zkontrolovat, kdy platnost certifikátu spravované identity vyprší pro daný cluster, spusťte následující příkaz:

az connectedk8s show -n <name> -g <resource-group>

Ve výstupu hodnota managedIdentityCertificateExpirationTime indikuje, kdy platnost certifikátu spravované identity vyprší (90D značka pro tento certifikát).

Pokud hodnota managedIdentityCertificateExpirationTime označuje časové razítko z minulosti, connectivityStatus bude pole ve výše uvedeném výstupu nastaveno na Expiredhodnotu . V takových případech znova získejte cluster Kubernetes se službou Azure Arc:

  1. Odstraňte prostředek a agenty Kubernetes s podporou Služby Azure Arc v clusteru.

    az connectedk8s delete -n <name> -g <resource-group>

  2. Znovu vytvořte prostředek Kubernetes s podporou Azure Arc nasazením agentů do clusteru.

    az connectedk8s connect -n <name> -g <resource-group>

Poznámka:

az connectedk8s delete odstraní také konfigurace a rozšíření clusteru nad clusterem. Po spuštění az connectedk8s connectznovu vytvořte konfigurace a rozšíření clusteru v clusteru, a to buď ručně, nebo pomocí služby Azure Policy.

Pokud už používám kanály CI/CD, můžu stále používat konfigurace Kubernetes s podporou Azure Arc nebo AKS a GitOps?

Ano, v clusteru, který přijímá nasazení, můžete dál používat konfigurace prostřednictvím kanálu CI/CD. V porovnání s tradičními kanály CI/CD nabízejí konfigurace GitOps některé další výhody.

Vyrovnání posunu

Kanál CI/CD aplikuje změny pouze jednou během spuštění kanálu. Operátor GitOps v clusteru ale průběžně dotazuje úložiště Git, aby načítá požadovaný stav prostředků Kubernetes v clusteru. Pokud operátor GitOps najde požadovaný stav prostředků, který se má lišit od skutečného stavu prostředků v clusteru, tento posun se odsouhlasí.

Použití GitOps ve velkém měřítku

Kanály CI/CD jsou užitečné pro nasazení řízená událostmi do clusteru Kubernetes (například nasdílení změn do úložiště Git). Pokud ale chcete nasadit stejnou konfiguraci do všech clusterů Kubernetes, musíte pro kanál CI/CD ručně nakonfigurovat přihlašovací údaje každého clusteru Kubernetes.

Pro Kubernetes s podporou Azure Arc, protože Azure Resource Manager spravuje vaše konfigurace GitOps, můžete automatizovat vytváření stejné konfigurace napříč všemi prostředky Kubernetes a AKS s podporou Azure Arc pomocí Azure Policy v rámci předplatného nebo skupiny prostředků. Tato funkce se dá dokonce použít pro prostředky Kubernetes s podporou Azure Arc a AKS vytvořené po přiřazení zásad.

Tato funkce používá základní konfigurace (jako jsou zásady sítě, vazby rolí a zásady zabezpečení podů) v celém inventáři clusteru Kubernetes, aby splňovaly požadavky na dodržování předpisů a zásady správného řízení.

Dodržování předpisů clusteru

Stav dodržování předpisů každé konfigurace GitOps se hlásí zpět do Azure. Díky tomu můžete sledovat všechna neúspěšná nasazení.

Ukládá Kubernetes s podporou Azure Arc nějaká zákaznická data mimo oblast clusteru?

Funkce umožňující ukládání zákaznických dat v jedné oblasti je v současné době k dispozici pouze v oblasti Jihovýchodní Asie (Singapur) oblasti Asie a Tichomoří (Brazílie – jih ) (Sao Paulo State) v oblasti Brazílie Geo. Pro všechny ostatní oblasti se zákaznická data ukládají v příslušné geografické zóně. To platí pro rozšíření zprostředkovatele tajných kódů s podporou Služby Azure Arc s podporou Služby Azure Arc a Azure Key Vaultu pro Kubernetes. Další rozšíření clusteru najdete v dokumentaci, kde se dozvíte, jak ukládají zákaznická data. Další informace najdete v Centru zabezpečení.

Další kroky