Herstellen einer Verbindung mit Azure Kubernetes Service auf einem Azure Stack HCI-Cluster mit Kubernetes mit Azure Arc-Unterstützung

Gilt für: AKS in Azure Stack HCI und Windows Server

Wenn eine Azure Kubernetes Service-Instanz auf dem Azure Stack HCI-Cluster an Azure Arc angefügt wird, erhält sie eine Azure Resource Manager-Darstellung. Cluster sind an Azure-Standardabonnements angefügt, befinden sich in einer Ressourcengruppe und können wie jede andere Azure-Ressource Tags erhalten. Außerdem ermöglicht Ihnen die Kubernetes-Darstellung mit Azure Arc-Unterstützung das Erweitern der folgenden Funktionen auf Ihren Kubernetes-Cluster:

  • Verwaltungsdienste – Konfigurationen (GitOps), Azure Monitor für Container, Azure Policy (Gatekeeper)
  • Data Services – SQL Managed Instance, PostgreSQL Hyperscale
  • Anwendungsdienste – App Service, Functions, Event Grid, Logic Apps, API Management

Zum Herstellen einer Verbindung zwischen einem Kubernetes-Cluster und Azure muss ein Clusteradministrator entsprechende Agents bereitstellen. Diese Agents werden in einem Kubernetes-Namespace namens azure-arc ausgeführt und sind Kubernetes-Standardbereitstellungen. Die Agents sind für die Konnektivität mit Azure, das Sammeln von Azure Arc-Protokollen und Metriken und das Aktivieren der oben erwähnten Szenarien im Cluster verantwortlich.

Kubernetes mit Azure Arc-Aktivierung unterstützt branchenübliches SSL zum Absichern von Daten während der Übertragung. Die Daten werden außerdem im Ruhezustand verschlüsselt in einer Azure Cosmos DB-Datenbank gespeichert, um ihre Vertraulichkeit zu gewährleisten.

In den folgenden Schritten wird beschrieben, wie Sie Azure Kubernetes Service auf Azure Stack HCI-Clustern mit Azure Arc verbinden. Sie können diese Schritte überspringen, wenn Sie Ihren Kubernetes-Cluster bereits über Windows Admin Center mit Azure Arc verbunden haben.

Voraussetzungen

Vergewissern Sie sich, dass Sie die folgenden Anforderungen erfüllen:

Schritt 1: Anmelden an Azure

Führen Sie zum Anmelden bei Azure den PowerShell-Befehl Connect-AzAccount aus:

Connect-AzAccount

Wenn Sie zu einem anderen Abonnement wechseln möchten, führen Sie den PowerShell-Befehl Set-AzContext aus.

Set-AzContext -Subscription "myAzureSubscription"

Schritt 2: Registrieren der beiden Anbieter für Kubernetes mit Azure Arc-Unterstützung

Sie können diesen Schritt überspringen, wenn Sie die beiden Anbieter bereits für den Azure Arc-fähigen Kubernetes-Dienst in Ihrem Abonnement registriert haben. Die Registrierung ist ein asynchroner Prozess und muss einmal pro Abonnement erfolgen. Sie kann ca. 10 Minuten dauern.

Register-AzResourceProvider -ProviderNamespace Microsoft.Kubernetes
Register-AzResourceProvider -ProviderNamespace Microsoft.KubernetesConfiguration
Register-AzResourceProvider -ProviderNamespace Microsoft.ExtendedLocation

Mit den folgenden Befehlen können Sie überprüfen, ob Sie registriert sind:

Get-AzResourceProvider -ProviderNamespace Microsoft.Kubernetes
Get-AzResourceProvider -ProviderNamespace Microsoft.KubernetesConfiguration
Get-AzResourceProvider -ProviderNamespace Microsoft.ExtendedLocation

Schritt 3: Herstellen einer Verbindung mit Azure Arc mithilfe des AKS-HCI-PowerShell-Moduls

Verbinden Sie Ihren Cluster von AKS in Azure Stack HCI mit Azure Arc-fähigem Kubernetes mithilfe des Enable-AksHciArcConnection-PowerShell-Befehls. In diesem Schritt werden Azure Arc-Agents für Kubernetes im Namespace azure-arc bereitgestellt.

Enable-AksHciArcConnection -name mynewcluster 

Verbinden Sie Ihren AKS-Cluster mit Azure Arc über einen Service Principal

Wenn Sie keinen Zugriff auf ein Abonnement haben, für das Sie „Besitzer“ sind, können Sie Ihren Workloadcluster mithilfe eines Dienstprinzipals mit Azure Arc verbinden.

Der erste Befehl fordert zur Eingabe von Dienstprinzipal-Anmeldeinformationen auf und speichert sie in der credential Variable. Tragen Sie Ihre Anwendungs-ID als Benutzernamen und verwenden Sie dann das Dienstprinzipalgeheimnis als Passwort, wenn Sie dazu aufgefordert werden. Stellen Sie sicher, dass Sie diese Werte von Ihrem Abonnementadministrator erhalten. Der zweite Befehl verbindet Ihren Cluster mit Azure Arc mithilfe der Dienstprinzipal-Anmeldeinformationen, die in der credential Variable gespeichert sind.

$Credential = Get-Credential
Enable-AksHciArcConnection -name "myCluster" -subscriptionId "3000e2af-000-46d9-0000-4bdb12000000" -resourceGroup "myAzureResourceGroup" -credential $Credential -tenantId "xxxx-xxxx-xxxx-xxxx" -location "eastus"

Stellen Sie sicher, dass dem Dienstprinzipal, der im obigen Befehl verwendet wird, die Rolle „Besitzer“, „Mitwirkender“ oder „Kubernetes-Cluster - Azure Arc Onboarding“ zugewiesen ist und dass sich dessen Bereich über die Abonnement-ID und Ressourcengruppe erstreckt, die im Befehl verwendet werden. Weitere Informationen über Dienstprinzipale finden Sie unter Erstellen eines Dienstprinzipals mit Azure PowerShell.

Überprüfen des verbundenen Clusters

Sie können Ihre Kubernetes-Clusterressource im Azure-Portal anzeigen. Nachdem Sie das Portal in Ihrem Browser geöffnet haben, navigieren Sie zu der Ressourcengruppe und der für Azure Arc aktivierten Kubernetes-Ressource, die auf dem eingegebenen Ressourcennamen und Ressourcengruppennamen basieren, die im PowerShell-Befehl enable-akshciarcconnection genutzt wurden.

Hinweis

Nach dem Herstellen der Verbindung mit dem Cluster kann es maximal fünf bis zehn Minuten dauern, bis die Clustermetadaten (Clusterversion, Agent-Version, Anzahl der Knoten) auf der Übersicht der Kubernetes-Ressource mit Azure Arc-Unterstützung im Azure-Portal angezeigt werden.

Azure Arc-Agents für Kubernetes

Kubernetes mit Azure Arc-Unterstützung stellt einige Operatoren im Namespace azure-arc bereit. So können Sie diese Bereitstellungen und Pods mit dem folgenden kubectl-Befehl anzeigen.

kubectl -n azure-arc get deployments,pods

Kubernetes mit Azure Arc-Unterstützung besteht aus einigen Agents (Operatoren), die in Ihrem Cluster ausgeführt und im Namespace azure-arc bereitgestellt werden. Weitere Informationen zu diesen Agents finden Sie hier.

Trennen Ihres Clusters von AKS in Azure Stack HCI von Azure Arc

Wenn Sie Ihren Cluster von Kubernetes mit Azure Arc-Unterstützung trennen möchten, führen Sie den PowerShell-Befehl Disable-AksHciArcConnection aus. Stellen Sie sicher, dass Sie sich bei Azure anmelden, bevor Sie den Befehl ausführen.

Disable-AksHciArcConnection -Name mynewcluster

Nächste Schritte