Requisitos del sistema de Azure Kubernetes Service en Azure Stack HCI
Se aplica a: Azure Stack HCI versiones 21H2 y 20H2, Windows Server 2022 Datacenter, Windows Server 2019 Datacenter
En este artículo se describen los requisitos para configurar Azure Kubernetes Service en Azure Stack HCI o Windows Server 2019 Datacenter, y usarlo para crear clústeres de Kubernetes. Para obtener información general sobre Azure Kubernetes Service en Azure Stack HCI, consulte Introducción a AKS en Azure Stack HCI.
Determinar los requisitos de hardware
Microsoft recomienda adquirir una solución de hardware o software de Azure Stack HCI validada de nuestros asociados. Estas soluciones se diseñan, se ensamblan y se validan con nuestra arquitectura de referencia para garantizar la compatibilidad y la confiabilidad, de modo que pueda empezar a utilizarlas rápidamente. Compruebe que los sistemas, componentes, dispositivos y controladores que usa estén certificados para Windows Server 2019 según el catálogo de Windows Server. Visite el sitio web de soluciones de Azure Stack HCI para obtener soluciones validadas.
Requisitos generales
Para que Azure Kubernetes Service en Azure Stack HCI o en Windows Server 2019 Datacenter funcione de forma óptima en un entorno de Active Directory, asegúrese de que se cumplan los siguientes requisitos:
Asegúrese de que la sincronización de hora está configurada y de que la divergencia no supera los 2 minutos en todos los nodos del clúster y en el controlador de dominio. Para más información sobre cómo establecer la sincronización de hora, consulte el servicio de hora de Windows.
Asegúrese de que las cuentas de usuario que agregan actualizaciones y administran clústeres de Azure Kubernetes Service en Azure Stack HCI o en Windows Server 2019 Datacenter tienen los permisos correctos en Active Directory. Si usa unidades organizativas para administrar directivas de grupo para servidores y servicios, las cuentas de usuario requerirán permisos de lista, lectura, modificación y eliminación en todos los objetos de la unidad organizativa.
Se recomienda usar una unidad organizativa independiente para los servidores y los servicios en los que se agregan los clústeres de Azure Kubernetes Service en Azure Stack HCI o Windows Server 2019 Datacenter. El uso de una unidad organizativa independiente le permitirá controlar el acceso y los permisos con mayor precisión.
Si usa plantillas de GPO en contenedores de Active Directory, asegúrese de que la implementación de AKS en Azure Stack HCI esté exenta de la directiva. La protección del servidor estará disponible en una versión posterior.
Requisitos de Azure
Cuenta y suscripción de Azure
Si aún no tiene una cuenta de Azure, cree una. Puede usar una suscripción existente de cualquier tipo:
- Cuenta gratuita con créditos de Azure para alumnos o suscriptores de Visual Studio
- Suscripción de pago por uso con tarjeta de crédito
- Suscripción obtenida a través de un Contrato Enterprise (EA)
- Suscripción obtenida a través del programa Proveedor de soluciones en la nube (CSP)
Permisos, rol y nivel de acceso de Azure AD
Debe tener suficientes permisos para registrar una aplicación con el inquilino de Azure AD.
Para comprobar que tiene permisos suficientes, haga lo siguiente:
- Vaya a Azure Portal y haga clic en Roles y administradores en Azure Active Directory para comprobar el rol.
- Si tiene el rol Usuario, debe asegurarse de que los no administradores pueden registrar aplicaciones.
- Para comprobar si puede registrar aplicaciones, vaya a Configuración de usuario en el servicio Azure Active Directory para comprobar si tiene permiso para registrar una aplicación.
Si la configuración de registro de aplicaciones se establece en No, solo los usuarios con un rol de administrador pueden registrar este tipo de aplicaciones. Consulte Roles integrados de Azure AD para conocer los roles de administrador disponibles y los permisos específicos en Azure AD que se otorgan a cada uno. Si la cuenta está asignada al rol Usuario, pero la opción Registros de aplicaciones está limitada a los administradores, pida al administrador que le asigne un rol de administrador para poder crear y administrar todos los aspectos de los registros de aplicaciones, o que permita a los usuarios registrar las aplicaciones.
Si no tiene permisos suficientes para registrar una aplicación y el administrador no puede concederle estos permisos, la manera más fácil de implementar AKS en Azure Stack HCI es pedir al administrador de Azure que cree una entidad de servicio con los permisos adecuados. Los administradores pueden consultar la sección siguiente para aprender a crear una entidad de servicio.
Nivel de acceso y rol de suscripción de Azure
Para comprobar el nivel de acceso, vaya a su suscripción, haga clic en Control de acceso (IAM) en el lado izquierdo de Azure Portal y, a continuación, haga clic en View my access (Ver mi acceso).
- Si usa Windows Admin Center para implementar un host de AKS o un clúster de carga de trabajo de AKS, debe tener una suscripción de Azure en la que sea Propietario.
- Si usa PowerShell para implementar un host de AKS o un clúster de carga de trabajo de AKS, el usuario que registra el clúster debe tener al menos uno de los siguientes elementos:
- Una cuenta de usuario con el rol Propietario integrado.
- Una entidad de servicio con uno de los siguientes niveles de acceso:
- El rol integrado Clúster de Kubernetes: incorporación de Azure Arc
- El rol integrado Colaborador
- El rol integrado Propietario
Si la suscripción de Azure es a través de EA o CSP, la manera más fácil de implementar AKS en Azure Stack HCI es pedir al administrador de Azure que cree una entidad de servicio con los permisos adecuados. Los administradores pueden consultar la sección siguiente sobre cómo crear una entidad de servicio.
Opcional: creación de una entidad de servicio
Ejecute los pasos siguientes para crear una nueva entidad de servicio con el rol integrado Microsoft.Kubernetes connected cluster (Clúster conectado de Microsoft.Kubernetes). Tenga en cuenta que solo los propietarios de suscripciones pueden crear entidades de servicio con la asignación de roles adecuada. Para comprobar el nivel de acceso, vaya a su suscripción, haga clic en Control de acceso (IAM) en el lado izquierdo de Azure Portal y, a continuación, haga clic en View my access (Ver mi acceso).
Instale e importe los siguientes módulos de Azure PowerShell:
Install-Module -Name Az.Accounts -Repository PSGallery -RequiredVersion 2.2.4
Import-Module Az.Accounts
Install-Module -Name Az.Resources -Repository PSGallery -RequiredVersion 3.2.0
Import-Module Az.Resources
Install-Module -Name AzureAD -Repository PSGallery -RequiredVersion 2.0.2.128
Import-Module AzureAD
Cierre todas las ventanas de PowerShell y vuelva a abrir una nueva sesión administrativa.
Inicie sesión en Azure con el comando Connect-AzAccount de PowerShell:
Connect-AzAccount
Establezca la suscripción que quiera usar para registrar el host de AKS para la facturación como suscripción predeterminada mediante la ejecución del comando Set-AzContext.
Set-AzContext -Subscription myAzureSubscription
Ejecute el comando Get-AzContext de PowerShell para comprobar que el contexto de inicio de sesión es correcto. Compruebe que la suscripción, el inquilino y la cuenta son los que quiere usar para registrar el host de AKS para la facturación.
Get-AzContext
Name Account SubscriptionName Environment TenantId
---- ------- ---------------- ----------- --------
myAzureSubscription (92391anf-... user@contoso.com myAzureSubscription AzureCloud xxxxxx-xxxx-xxxx-xxxxxx
Cree una entidad de servicio mediante la ejecución del comando New-AzADServicePrincipal de PowerShell. Este comando crea una entidad de servicio con el rol "Microsoft.Kubernetes connected cluster" (Clúster conectado de Microsoft.Kubernetes) y establece el ámbito en un nivel de suscripción. Para más información sobre la creación de entidades de servicio, consulte Creación de una entidad de servicio de Azure con Azure PowerShell.
$sp = New-AzADServicePrincipal -role "Microsoft.Kubernetes connected cluster"
Recupere la contraseña de la entidad de servicio mediante la ejecución del siguiente comando:
$secret = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret))
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"
En la salida anterior, tiene disponibles el id. de aplicación y el secreto al implementar AKS en Azure Stack HCI. Debe tomar nota de estos elementos y almacenarlos de forma segura. Con esto creado, en Azure Portal, en Suscripciones, Control de acceso y, a continuación, Asignaciones de roles, debería ver la nueva entidad de servicio.
Grupo de recursos de Azure
Antes del registro, debe tener un grupo de recursos de Azure disponible en la región Este de EE. UU., Sudeste de Asia u Oeste de Europa de Azure.
Requisitos de proceso
Para entornos de prueba: Un clúster de Azure Stack HCI o un clúster de conmutación por error de Windows Server 2019 Datacenter con cuatro servidores como máximo en el clúster. Se recomienda que cada servidor del clúster tenga 8 (se recomiendan 16) núcleos de CPU y 256 GB de RAM como mínimo.
Para entornos de producción: Un clúster de Azure Stack HCI o un clúster de conmutación por error de Windows Server 2019 Datacenter con cuatro servidores como máximo en el clúster. Se recomienda que cada servidor del clúster tenga 16 (se recomiendan 32) núcleos de CPU y 256 GB de RAM como mínimo. El tamaño final dependerá de la aplicación y del número de nodos de trabajo que planea implementar en el clúster de Azure Stack HCI.
Aunque técnicamente puede ejecutar Azure Kubernetes Service en un servidor de un solo nodo de Windows Server 2019 Datacenter, no se recomienda hacerlo. Sin embargo, puede ejecutar Azure Kubernetes Service en un servidor de un solo nodo de Windows Server 2019 Datacenter con fines de evaluación.
Otros requisitos de proceso para Azure Kubernetes Service en Azure Stack HCI están en línea con los requisitos de Azure Stack HCI. Consulte Requisitos del sistema de Azure Stack HCI para más información sobre los requisitos del servidor de Azure Stack HCI.
Debe instalar el sistema operativo de Azure Stack HCI en cada servidor del clúster con la región EN-US y las selecciones de idioma. En este momento, no puede cambiar esta configuración después de la instalación.
Requisitos de red generales
Los siguientes requisitos se aplican a un clúster de Azure Stack HCI, así como a un clúster de Windows Server 2019 Datacenter:
Compruebe que tiene un conmutador virtual externo existente configurado si va a utilizar Windows Admin Center. En el caso de los clústeres de Azure Stack HCI, este conmutador y su nombre deben ser los mismos en todos los nodos de clúster.
Compruebe que ha deshabilitado IPv6 en todos los adaptadores de red.
Para una implementación correcta, los nodos de clúster de Azure Stack HCI y las máquinas virtuales de clúster de Kubernetes deben tener conectividad externa a Internet.
Asegúrese de que todas las subredes que defina para el clúster se puedan enrutar entre sí y a Internet.
Asegúrese de que haya conectividad de red entre los hosts de Azure Stack HCI y las VM de inquilino.
La resolución de nombres DNS es necesaria para que todos los nodos puedan comunicarse entre sí.
(Recomendado) Habilite las actualizaciones de DNS dinámicas en el entorno DNS para permitir que AKS en Azure Stack HCI registre el nombre genérico del clúster del agente en la nube en el sistema DNS para su detección. Si el DNS dinámico no es una opción, siga los pasos indicados en "Set-AksHciConfig".
Asignación de dirección IP
En AKS en Azure Stack HCI, las redes virtuales se usan para asignar direcciones IP a los recursos de Kubernetes que las necesitan, como se indicó anteriormente. Hay dos modelos de redes entre los que elegir, según la arquitectura de redes deseada para AKS en Azure Stack HCI.
Nota
La arquitectura de redes virtuales definida aquí para sus implementaciones de AKS en Azure Stack HCI es diferente de la arquitectura de redes físicas subyacente del centro de datos.
Redes IP estáticas: la red virtual asigna direcciones IP estáticas al servidor de API del clúster de Kubernetes, los nodos de Kubernetes, las máquinas virtuales subyacentes, los equilibradores de carga y cualquier servicio de Kubernetes que se ejecute sobre el clúster.
Redes DHCP: la red virtual asigna direcciones IP dinámicas a los nodos de Kubernetes, las máquinas virtuales subyacentes y los equilibradores de carga mediante un servidor DHCP. Al servidor de API del clúster de Kubernetes y los servicios de Kubernetes que se ejecutan en el clúster se les siguen asignando direcciones IP estáticas.
Reserva mínima de direcciones IP
Como mínimo, debe reservar el siguiente número de direcciones IP para la implementación:
| Tipo de clúster | Nodo del plano de control | Nodo de trabajo | Para las operaciones de actualización | Equilibrador de carga |
|---|---|---|---|---|
| Host de AKS | 1 dirección IP | N/D | 2 direcciones IP | N/D |
| Clúster de carga de trabajo | 1 dirección IP por nodo | 1 dirección IP por nodo | 5 direcciones IP | 1 dirección IP |
Además, debe reservar el siguiente número de direcciones IP para el grupo de direcciones VIP:
| Tipo de recurso | Número de direcciones IP |
|---|---|
| Servidor de API del clúster | 1 por clúster |
| Servicios de Kubernetes | 1 por servicio |
Como puede ver, el número de direcciones IP necesarias es variable según la arquitectura de AKS en Azure Stack HCI y el número de servicios que se ejecutan en el clúster de Kubernetes. Se recomienda reservar un total de 256 direcciones IP (subred /24) para la implementación.
Para obtener más información sobre los requisitos de red, consulte los conceptos de redes de nodo en AKS en Azure Stack HCI y los conceptos de redes de contenedor en AKS en Azure Stack HCI.
Requisitos de puerto de red y de dirección URL
Al crear un clúster de Azure Kubernetes Service en Azure Stack HCI, se abrirán automáticamente los siguientes puertos de firewall en cada servidor del clúster.
| Puerto de firewall | Descripción |
|---|---|
| 45000 | Puerto de servidor wssdagent GPRC |
| 45001 | Puerto de autenticación wssdagent GPRC |
| 55 000 | Puerto de servidor wssdcloudagent GPRC |
| 65000 | Puerto de autenticación wssdcloudagent GPRC |
Las excepciones de URL de firewall son necesarias para la máquina de Windows Admin Center y todos los nodos del clúster de Azure Stack HCI.
| URL | Port | Notas |
|---|---|---|
| msk8s.api.cdp.microsoft.com | 443 | Se usa al descargar el catálogo de productos, los bits de productos y las imágenes de sistema operativo de AKS en Azure Stack HCI desde SFS. Se produce cuando se ejecuta Set-AksHciConfig y al realizar una descarga desde SFS. |
| msk8s.b.tlu.dl.delivery.mp.microsoft.com | 80 | Se usa al descargar el catálogo de productos, los bits de productos y las imágenes de sistema operativo de AKS en Azure Stack HCI desde SFS. Se produce cuando se ejecuta Set-AksHciConfig y al realizar una descarga desde SFS. |
| msk8s.f.tlu.dl.delivery.mp.microsoft.com | 80 | Se usa al descargar el catálogo de productos, los bits de productos y las imágenes de sistema operativo de AKS en Azure Stack HCI desde SFS. Se produce cuando se ejecuta Set-AksHciConfig y al realizar una descarga desde SFS. |
| login.microsoftonline.com | 443 | Se usa al iniciar sesión en Azure y ejecutar Set-AksHciRegistration. |
| login.windows.net | 443 | Se usa al iniciar sesión en Azure y ejecutar Set-AksHciRegistration. |
| management.azure.com | 443 | Se usa al iniciar sesión en Azure y ejecutar Set-AksHciRegistration. |
| www.microsoft.com | 443 | Se usa al iniciar sesión en Azure y ejecutar Set-AksHciRegistration. |
| msft.sts.microsoft.com | 443 | Se usa al iniciar sesión en Azure y ejecutar Set-AksHciRegistration. |
| graph.windows.net | 443 | Se usa al ejecutar Install-AksHci. |
| ecpacr.azurecr.io | 443 | Se requiere para extraer imágenes de contenedor al ejecutar Install-AksHci. |
| *.blob.core.windows.net Punto de conexión de EE. UU.: wus2replica*.blob.core.windows.net |
443 | Se requiere para extraer imágenes de contenedor al ejecutar Install-AksHci. |
| mcr.microsoft.com | 443 | Se requiere para extraer imágenes de contenedor al ejecutar Install-AksHci. |
| *.mcr.microsoft.com | 443 | Se requiere para extraer imágenes de contenedor al ejecutar Install-AksHci. |
| *.data.mcr.microsoft.com | 443 | Se requiere para extraer imágenes de contenedor al ejecutar Install-AksHci. |
| akshci.azurefd.net | 443 | Se requiere para la facturación de AKS en Azure Stack HCI al ejecutar Install-AksHci. |
Nota
Dado que el clúster de administración (host de AKS) usa Azure Arc para la facturación, debe seguir estos requisitos de red para los clústeres de Kubernetes habilitados para Azure Arc. También debe revisar las direcciones URL de Azure Stack HCI.
Requisitos de almacenamiento
Las siguientes implementaciones de almacenamiento son compatibles con Azure Kubernetes Service en Azure Stack HCI:
| Nombre | Tipo de almacenamiento | Capacidad necesaria |
|---|---|---|
| Clúster de Azure Stack HCI | Volúmenes compartidos en clúster | 1 TB |
| Clúster de conmutación por error de Windows Server 2019 Datacenter | Volúmenes compartidos en clúster | 1 TB |
| Windows Server 2019 Datacenter de un solo nodo | Almacenamiento de conexión directa | 500 GB |
En el caso de un clúster de Azure Stack HCI, se admiten dos configuraciones de almacenamiento para ejecutar cargas de trabajo de máquinas virtuales. El almacenamiento híbrido que equilibra el rendimiento y la capacidad mediante el almacenamiento all-flash y unidades de disco duro (HDD) y el almacenamiento all-flash que maximiza el rendimiento mediante unidades de estado sólido (SSD) o NVMe. Los sistemas que solo tienen almacenamiento basado en HDD no son compatibles con Azure Stack HCI, por lo que no son recomendables para ejecutar AKS en Azure Stack HCI. Puede obtener más información sobre las configuraciones de unidades recomendadas en la documentación de Azure Stack HCI. Todos los sistemas que se han validado en el catálogo de Azure Stack HCI se dividen en una de las dos configuraciones de almacenamiento admitidas que se señalaron anteriormente.
En el caso de un clúster basado en Windows Server 2019 Datacenter, puede implementarlo con almacenamiento local o basado en SAN. Para el almacenamiento local, se recomienda usar la característica integrada Espacios de almacenamiento directo o una solución SAN virtual certificada equivalente para crear una infraestructura hiperconvergida que presente los volúmenes compartidos de clúster para que los usen las cargas de trabajo. Para Espacios de almacenamiento directo, es necesario que el almacenamiento sea híbrido (flash + HDD), que equilibre el rendimiento y la capacidad; u all-flash (SSD, NVMe), que maximice el rendimiento. Si decide implementar con el almacenamiento basado en SAN, asegúrese de que el almacenamiento SAN puede ofrecer suficiente rendimiento para ejecutar varias cargas de trabajo de máquinas virtuales. Es posible que el almacenamiento SAN basado en HDD antiguo no ofrezca los niveles de rendimiento necesarios para ejecutar varias cargas de trabajo de máquinas virtuales, y puede que se produzcan problemas de rendimiento y agotamientos de los tiempos de espera.
En el caso de las implementaciones de Windows Server 2019 de un solo nodo mediante el almacenamiento local, se recomienda encarecidamente el uso del almacenamiento all-flash (SSD, NVMe) a fin de ofrecer el rendimiento necesario para hospedar varias máquinas virtuales en un único host físico. Sin el almacenamiento flash, los niveles inferiores de rendimiento en HDD pueden provocar problemas de implementación y agotamientos de los tiempos de espera.
Revisión de las especificaciones de hardware máximas admitidas
No se admiten las implementaciones de Azure Kubernetes Service en Azure Stack HCI que superen las siguientes especificaciones:
| Recurso | Máxima |
|---|---|
| Servidores físicos por clúster | 4 |
| Clústeres de Kubernetes | 4 |
| Total de máquinas virtuales (VM) | 200 |
Requisitos de Windows Admin Center
Windows Admin Center es la interfaz de usuario para crear y administrar Azure Kubernetes Service en Azure Stack HCI. Para usar Windows Admin Center con Azure Kubernetes Service en Azure Stack HCI, debe cumplir todos los criterios de la siguiente lista.
Estos son los requisitos de la máquina que ejecuta la puerta de enlace de Windows Admin Center:
- Máquina con Windows 10 o Windows Server
- Estar registrado en Azure
- En el mismo dominio que el clúster de Azure Stack HCI o el de Windows Server 2019 Datacenter
- Una suscripción de Azure en la que sea propietario. Para comprobar el nivel de acceso, vaya a su suscripción, haga clic en Control de acceso (IAM) en el lado izquierdo de Azure Portal y, a continuación, haga clic en View my access (Ver mi acceso).
Pasos siguientes
Después de haber cumplido todos los requisitos previos anteriores, puede configurar un host de Azure Kubernetes Service en Azure Stack HCI mediante: