Az Azure Arc által az Azure Stack HCI 22H2-n engedélyezett AKS rendszerkövetelményei

A következőkre vonatkozik: Azure Stack HCI, 22H2- verzió; Windows Server 2022, Windows Server 2019

Ez a cikk az Azure Arc által engedélyezett Azure Kubernetes Service (AKS) beállításának követelményeit ismerteti. Az Arc által engedélyezett AKS-ről az AKS áttekintésében olvashat.

Hardverkövetelmények

A Microsoft azt javasolja, hogy vásároljon ellenőrzött Azure Stack HCI hardver-/szoftvermegoldást partnereinktől. Ezek a megoldások a referenciaarchitektúra futtatására, valamint a kompatibilitás és a megbízhatóság ellenőrzésére lettek tervezve, összeállítva és ellenőrizve, hogy ön gyorsan elinduljon. Ellenőrizze, hogy az Ön által használt rendszerek, összetevők, eszközök és illesztőprogramok Windows Server-tanúsítvánnyal rendelkeznek-e a Windows Server-katalógus szerint. Az ellenőrzött megoldásokért tekintse meg az Azure Stack HCI-megoldások webhelyét.

Fontos

Az éles környezetek gazdarendszereinek fizikai hardvernek kell lenniük. A beágyazott virtualizálás, amely az Azure Stack HCI vagy a Windows Server virtuális gépen való üzembe helyezését és az AKS ezen a virtuális gépen való telepítését jellemzi, nem támogatott.

Maximálisan támogatott hardverspecifikációk

Az Azure Stack HCI-n és a Windows Server azon üzemelő példányain, amelyek túllépik a következő specifikációkat, nem támogatottak:

Erőforrás	Maximum
Fizikai kiszolgálók fürtönként	8 (Az Azure Stack HCI 22H2-es verziója és a Windows Server)
Virtuális gépek teljes száma	200

Számítási követelmények

Minimális memóriakövetelmények

Az AKS-fürtöt a következő módon állíthatja be az AKS futtatásához egyetlen csomóponton, korlátozott RAM-mal rendelkező Windows Serveren:

Fürt típusa	Vezérlősík virtuális gépének mérete	Feldolgozó csomópont	Frissítési műveletekhez	Terheléselosztóval
AKS-gazdagép	Standard_A4_v2 virtuális gép mérete = 8 GB	N/A – Az AKS-gazdagép nem rendelkezik munkavégző csomópontokkal.	8 GB	N/A – Az AKS-gazdagép a kubevipet használja a terheléselosztáshoz.
Számításifeladat-fürt	Standard_A4_v2 virtuális gép mérete = 8 GB	Standard_K8S3_v1 1 munkavégző csomóponthoz = 6 GB	Ezt a fenntartott 8 GB-ot újra használhatja a számításifeladat-fürt frissítéséhez.	N/A, ha a kubevip a terheléselosztáshoz használatos (az alapértelmezett HAProxy terheléselosztó helyett).

Teljes minimális követelmény: 30 GB RAM.

Ez a minimális követelmény a tárolóalapú alkalmazások futtatásához egy munkavégző csomóponttal rendelkező AKS-telepítésre vonatkozik. Ha munkavégző csomópontokat vagy HAProxy terheléselosztót ad hozzá, a végső RAM-követelmény ennek megfelelően változik.

Ajánlott számítási követelmények

Környezet	Processzormagok kiszolgálónként	RAM
Azure Stack HCI	32	256 GB
Windows Server feladatátvevő fürt	32	256 GB
Egycsomópontos Windows Server	16	128 GB

Éles környezetben a végső méretezés az Azure Stack HCI- vagy Windows Server-fürtön üzembe helyezni kívánt alkalmazástól és munkavégző csomópontok számától függ. Ha úgy dönt, hogy az AKS-t egy csomópontos Windows Serveren futtatja, nem kap olyan magas rendelkezésre állású funkciókat, amelyek az AKS Azure Stack HCI-n, Windows Server-fürtön vagy Windows Server feladatátvevő fürtön való futtatásával járnak.

Az Azure Stack HCI-n és a Windows Serveren futó AKS egyéb számítási követelményei összhangban vannak az Azure Stack HCI követelményeivel. Az Azure Stack HCI-kiszolgáló követelményeiről további információt az Azure Stack HCI rendszerkövetelményei című témakörben talál.

Ugyanazt az operációs rendszert kell telepítenie a fürt minden kiszolgálójára. Ha Azure Stack HCI-t használ, a fürt minden kiszolgálóján ugyanazon az operációs rendszeren és verzión kell lennie. Windows Server Datacenter használata esetén a fürt minden kiszolgálóján ugyanaznak az operációs rendszernek és verziónak kell lennie. Minden operációs rendszernek az en-us régiót és a nyelvi beállításokat kell használnia. A telepítés után ezek a beállítások nem módosíthatók.

Tárolási követelmények

Az Azure Stack HCI-n és a Windows Serveren futó AKS a következő tárolási implementációkat támogatja:

Name	Tárolási típus	Szükséges kapacitás
Azure Stack HCI-fürt	Megosztott fürtkötetek	1 TB
Windows Server Datacenter feladatátvevő fürt	Megosztott fürtkötetek	1 TB
Egycsomópontos Windows Server-adatközpont	Közvetlen csatlakoztatott tároló	500 GB

Az Azure Stack HCI- vagy Windows Server-fürtök esetében két támogatott tárolási konfiguráció érhető el a virtuális gépek számítási feladatainak futtatásához:

• A hibrid tárolás kiegyensúlyozza a teljesítményt és a kapacitást flash tárolók és merevlemez-meghajtók (HDD-k) használatával.
• A teljes flash-tárolás maximalizálja a teljesítményt ssd-meghajtók (SSD-k) vagy NVMe-k használatával.

A csak HDD-alapú tárolóval rendelkező rendszereket az Azure Stack HCI nem támogatja, ezért nem ajánlott az AKS Azure Stack HCI-n és Windows Serveren való futtatásához. Az ajánlott meghajtókonfigurációkkal kapcsolatos további információkért tekintse meg az Azure Stack HCI dokumentációját. Az Azure Stack HCI-katalógusban ellenőrzött összes rendszer a két támogatott tárolókonfiguráció egyikébe tartozik.

A Kubernetes az etcd használatával tárolja a fürtök állapotát. Az ETCD tárolja a futó podok konfigurációját, specifikációit és állapotát. Emellett a Kubernetes az áruházat használja a szolgáltatásfelderítéshez. A Kubernetes és az általa támogatott számítási feladatok működésének koordináló összetevőjeként a késés és az etcd átviteli sebessége kritikus fontosságú. Az AKS-t SSD-n kell futtatnia. További információ: Teljesítmény etcd.io.

Windows Server-alapú adatközpont-alapú fürtök esetén helyi vagy SAN-alapú tárolóval is üzembe helyezheti azokat. Helyi tárolás esetén javasoljuk, hogy a beépített Közvetlen tárolóhelyek vagy ezzel egyenértékű minősített virtuális SAN-megoldással hozzon létre egy hiperkonvergens infrastruktúrát, amely a fürt megosztott köteteit jeleníti meg a számítási feladatok számára. A Közvetlen tárolóhelyek esetében a tárolónak hibridnek (flash + HDD) kell lennie, amely kiegyensúlyozza a teljesítményt és a kapacitást, vagy teljesen flash (SSD, NVMe), amely maximalizálja a teljesítményt. Ha a SAN-alapú tárolóval történő üzembe helyezést választja, győződjön meg arról, hogy a SAN-tároló elegendő teljesítményt nyújt több virtuálisgép-számítási feladat futtatásához. Előfordulhat, hogy a régebbi HDD-alapú SAN-tároló nem biztosítja a szükséges teljesítményszinteket több virtuális gép számítási feladatainak futtatásához, és teljesítményproblémákat és időtúllépéseket tapasztalhat.

A helyi tárolót használó egycsomópontos Windows Server-környezetek esetében a teljes flash tároló (SSD, NVMe) használata erősen ajánlott ahhoz, hogy több virtuális gép egyetlen fizikai gazdagépen történő üzemeltetéséhez szükséges teljesítményt nyújtsa. Flash storage nélkül a HDD-k alacsonyabb teljesítményszintjei üzembehelyezési problémákat és időtúllépéseket okozhatnak.

A hálózatra vonatkozó követelmények

Az alábbi követelmények egy Azure Stack HCI 22H2-fürtre és egy Windows Server Datacenter-fürtre vonatkoznak. Az Azure Stack HCI 23H2 hálózati követelményeit lásd: Hálózati követelmények.

• Az Azure Stack HCI 22H2 és a Windows Server esetében ellenőrizze, hogy van-e konfigurálva egy meglévő külső virtuális kapcsoló, ha Windows Admin Center használ. HCI- vagy Windows Server-fürtök esetén ennek a kapcsolónak és a nevének minden fürtcsomóponton azonosnak kell lennie. A HCI 23H2 esetében lásd a hálózati rendszer követelményeit.
• Ellenőrizze, hogy letiltotta-e az IPv6-ot az összes hálózati adapteren.
• A sikeres üzembe helyezéshez az Azure Stack HCI- vagy Windows Server-fürtcsomópontoknak és a Kubernetes-fürt virtuális gépeinek külső internetkapcsolattal kell rendelkezniük.
• Győződjön meg arról, hogy a fürthöz definiált összes alhálózat egymás és az internet között is elérhető.
• Győződjön meg arról, hogy hálózati kapcsolat van az Azure Stack HCI-gazdagépek és a bérlői virtuális gépek között.
• A DNS-névfeloldás szükséges ahhoz, hogy az összes csomópont kommunikálni tudjon egymással.
• (Ajánlott) Engedélyezze a dinamikus DNS-frissítéseket a DNS-környezetben, hogy az AKS felderítés céljából regisztrálhassa a felhőügynök általános fürtnevét a DNS-rendszerben.

IP-cím hozzárendelése

Az Arc által engedélyezett AKS-ben a rendszer virtuális hálózatokat használ az IP-címek lefoglalásához azokhoz a Kubernetes-erőforrásokhoz, amelyek megkövetelik azokat a korábban felsoroltak szerint. A kívánt AKS-hálózatkezelési architektúrától függően két hálózati modell közül választhat.

Megjegyzés

Az AKS-környezetekhez itt definiált virtuális hálózati architektúra eltér az adatközpont mögöttes fizikai hálózati architektúrájától.

• Statikus IP-hálózatkezelés: A virtuális hálózat statikus IP-címeket foglal le a Kubernetes-fürt API-kiszolgálójához, a Kubernetes-csomópontokhoz, a mögöttes virtuális gépekhez, a terheléselosztókhoz és a fürt tetején futó Kubernetes-szolgáltatásokhoz.
• DHCP-hálózatkezelés: A virtuális hálózat dinamikus IP-címeket foglal le a Kubernetes-csomópontokhoz, a mögöttes virtuális gépekhez és a terheléselosztókhoz DHCP-kiszolgáló használatával. A Kubernetes-fürt API-kiszolgálója és a fürt tetején futó Kubernetes-szolgáltatások továbbra is statikus IP-címeket kapnak.

Minimális IP-címfoglalás

Legalább a következő számú IP-címet kell lefoglalnia az üzembe helyezéshez:

Fürt típusa	Vezérlősík csomópontja	Munkavégző csomópont	Frissítési műveletekhez	Terheléselosztóval
AKS-gazdagép	1 IP	NA	2 IP	NA
Számítási feladatfürt	Csomópontonként 1 IP-cím	Csomópontonként 1 IP-cím	5 IP	1 IP

Emellett a KÖVETKEZŐ SZÁMÚ IP-címet kell lefoglalnia a VIP-készlethez:

Erőforrás típusa	IP-címek száma
Fürt API-kiszolgálója	Fürtönként 1
Kubernetes-szolgáltatások	Szolgáltatásonként 1

Mint látható, a szükséges IP-címek száma változó az AKS architektúrájától és a Kubernetes-fürtön futtatott szolgáltatások számától függően. Javasoljuk, hogy az üzembe helyezéshez összesen 256 IP-címet (/24 alhálózatot) foglaljon le.

A hálózatkezelési követelményekről további információt az AKS csomópont-hálózatkezelési fogalmai és az AKS tárolóhálózati fogalmai című témakörben talál.

Hálózati portra és URL-címre vonatkozó követelmények

Arc-követelmények által engedélyezett AKS

Amikor Kubernetes-fürtöt hoz létre az Azure Stack HCI-ben, a rendszer automatikusan megnyitja a következő tűzfalportokat a fürt minden kiszolgálóján.

Ha az Azure Stack HCI fizikai fürtcsomópontjai és az Azure Kubernetes-fürt virtuális gépei két elkülönített vlan-on találhatók, ezeket a portokat a tűzfalon kell megnyitni közöttük:

Port	Forrás	Leírás	Tűzfaljegyzetek
22	AKS virtuális gépek	Naplók gyűjtéséhez szükséges a használata Get-AksHciLogssorán.	Ha külön VLAN-t használ, a fizikai Hyper-V-gazdagépeknek hozzá kell férniük az ezen a porton található AKS virtuális gépekhez.
6443	AKS virtuális gépek	A Kubernetes API-kkal való kommunikációhoz szükséges.	Ha külön VLAN-t használ, a fizikai Hyper-V-gazdagépeknek hozzá kell férniük az ezen a porton található AKS virtuális gépekhez.
45000	Fizikai Hyper-V-gazdagépek	wssdAgent gRPC-kiszolgáló.	Nincs szükség több VLAN-szabályra.
45001	Fizikai Hyper-V-gazdagépek	wssdAgent gRPC-hitelesítés.	Nincs szükség több VLAN-szabályra.
46000	AKS virtuális gépek	wssdCloudAgent to lbagent.	Ha külön VLAN-t használ, a fizikai Hyper-V-gazdagépeknek hozzá kell férniük az ezen a porton található AKS virtuális gépekhez.
55000	Fürterőforrás (-CloudServiceCIDR)	Felhőügynök gRPC-kiszolgálója.	Ha külön VLAN-t használ, az AKS-virtuális gépeknek hozzá kell férniük a fürterőforrás IP-címéhez ezen a porton.
65000	Fürterőforrás (-CloudServiceCIDR)	Felhőügynök gRPC-hitelesítése.	Ha külön VLAN-t használ, az AKS-virtuális gépeknek hozzá kell férniük a fürterőforrás IP-címéhez ezen a porton.

Ha a hálózatnak proxykiszolgálót kell használnia az internethez való csatlakozáshoz, olvassa el a Proxykiszolgáló beállításainak használata az AKS-ben című témakört.

Tábla

Az engedélyezési listához a következő URL-címeket kell hozzáadni:

URL-cím	Port	Jegyzetek
msk8s.api.cdp.microsoft.com	443	Az AKS az Azure Stack HCI-termékkatalógus, termékbitek és operációsrendszer-rendszerképek SFS-ből való letöltésekor használatos. A futtatáskor Set-AksHciConfig és az SFS-ből való letöltéskor fordul elő.
msk8s.b.tlu.dl.delivery.mp.microsoft.com msk8s.f.tlu.dl.delivery.mp.microsoft.com	80	Az AKS az Azure Stack HCI-termékkatalógus, termékbitek és operációsrendszer-rendszerképek SFS-ből való letöltésekor használatos. A futtatáskor Set-AksHciConfig és az SFS-ből való letöltéskor fordul elő.
login.microsoftonline.com login.windows.net management.azure.com msft.sts.microsoft.com graph.windows.net	443	Az Azure-ba való bejelentkezéshez használatos a futtatásakor Set-AksHciRegistration.
ecpacr.azurecr.io mcr.microsoft.com *.mcr.microsoft.com *.data.mcr.microsoft.com *.blob.core.windows.net US-végpont: wus2replica*.blob.core.windows.net	443	Tárolórendszerképek lekéréséhez szükséges a futtatásakor Install-AksHci.
<region.dp.kubernetesconfiguration.azure.com>	443	Az AKS hibrid fürtök Azure Arcba való előkészítéséhez szükséges.
gbl.his.arc.azure.com	443	A rendszer által hozzárendelt felügyelt identitástanúsítványok lekéréséhez szükséges a regionális végpont lekéréséhez.
*.his.arc.azure.com	443	A rendszer által hozzárendelt felügyelt identitástanúsítványok lekéréséhez szükséges.
k8connecthelm.azureedge.net	443	Az Arc-kompatibilis Kubernetes a Helm 3 használatával telepíti az Azure Arc-ügynököket az AKS-HCI felügyeleti fürtön. Ez a végpont szükséges a Helm-ügyfél letöltéséhez az ügynök helm-diagramjának üzembe helyezésének megkönnyítéséhez.
*.arc.azure.net	443	A hibrid AKS-fürtök Azure Portal való kezeléséhez szükséges.
dl.k8s.io	443	Az Azure Arc kubernetes bináris fájljainak letöltéséhez és frissítéséhez szükséges.
akshci.azurefd.net	443	Az Azure Stack HCI-számlázáson futó AKS-hez szükséges a futtatásakor Install-AksHci.
v20.events.data.microsoft.com gcs.prod.monitoring.core.windows.net	443	Rendszeres időközönként a Microsoft szükséges diagnosztikai adatainak elküldéséhez az Azure Stack HCI-ből vagy a Windows Server-gazdagépről.

Json

A tűzfal URL-kivételeinek engedélyezési listáját kivághatja és beillesztheti:

[{
    "URL": "msk8s.api.cdp.microsoft.com",
    "Port": "443 ",
    "Notes": "Used when downloading the AKS on Azure Stack HCI product catalog, product bits, and OS images from SFS.Occurs when running `Set-AksHciConfig` and at any time you download from SFS."
}, {
    "URL": "msk8s.b.tlu.dl.delivery.mp.microsoft.com",
    "Port": "80",
    "Notes": "Used when downloading the AKS on Azure Stack HCI product catalog, product bits, and OS images from SFS. Occurs when running `Set-AksHciConfig` and at any time you download from SFS."
}, {
    "URL": "msk8s.f.tlu.dl.delivery.mp.microsoft.com",
    "Port": "80",
    "Notes": "Used when downloading the AKS on Azure Stack HCI product catalog, product bits, and OS images from SFS. Occurs when running `Set-AksHciConfig` and at any time you download from SFS."
}, {
    "URL": "login.microsoftonline.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "login.windows.net",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "management.azure.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "www.microsoft.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "msft.sts.microsoft.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "graph.windows.net",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "ecpacr.azurecr.io",
    "Port": "443",
    "Notes": "Required to pull container images when running `Install-AksHci`."
}, {
    "URL": "*.blob.core.windows.net  US endpoint: wus2replica*.blob.core.windows.net",
    "Port": "443",
    "Notes": "Required to pull container images when running `Install-AksHci`."
}, {
    "URL": "mcr.microsoft.com, *.mcr.microsoft.com",
    "Port": "443",
    "Notes": "Required to pull container images when running `Install-AksHci`."
}, {
    "URL": "akshci.azurefd.net",
    "Port": "443",
    "Notes": "Required for AKS on Azure Stack HCI billing when running `Install-AksHci`."
}, {
    "URL": "v20.events.data.microsoft.com",
    "Port": "443",
    "Notes": "Used periodically to send Microsoft required diagnostic data from the Azure Stack HCI or Windows Server host."
}, {
    "URL": "gcs.prod.monitoring.core.windows.net",
    "Port": "443",
    "Notes": "Used periodically to send Microsoft required diagnostic data from control plane nodes."
}]

Töltse le az URL-engedélyezési listát (json).

Megjegyzés

Az Arc által engedélyezett AKS tárolja és feldolgozza az ügyféladatokat. Alapértelmezés szerint az ügyféladatok abban a régióban maradnak, amelyben az ügyfél üzembe helyezi a szolgáltatáspéldányt. Ezek az adatok a Microsoft által üzemeltetett regionális adatközpontokban találhatók. Az adattárolási követelményekkel rendelkező régiók esetében az ügyféladatok mindig ugyanabban a régióban vannak tárolva.

További URL-követelmények az Azure Arc-funkciókhoz

Az előző URL-címlista tartalmazza az AKS-szolgáltatás azure-hoz való csatlakoztatásához szükséges minimális URL-címeket a számlázáshoz. További URL-címeket kell engedélyeznie, ha fürtcsatlakozás, egyéni helyek, Azure RBAC és más Azure-szolgáltatások, például az Azure Monitor stb. használatát szeretné használni az AKS számításifeladat-fürtön. Az Arc URL-címeinek teljes listáját az Azure Arc-kompatibilis Kubernetes hálózati követelmények című témakörben találja.

Tekintse át az Azure Stack HCI URL-címeit is. Mivel a kiszolgálóügynökökhöz készült Arc alapértelmezés szerint telepítve van az Azure Stack HCI 21H2-es és újabb Azure Stack HCI-csomópontjaira, tekintse át a kiszolgálóügynökök URL-címeit tartalmazó Arcot is.

Kinyújtott fürtök az AKS-ben

A Rugalmas fürtök áttekintésében leírtak szerint az AKS üzembe helyezése az Azure Stack HCI-n és a Windows Serveren a Windows stretched fürtök használatával nem támogatott. Javasoljuk, hogy biztonsági mentési és vészhelyreállítási megközelítést használjon az adatközpont működési folytonosságához. További információ: Számításifeladat-fürt biztonsági mentése vagy visszaállítása a Velero és az Azure Blob Storage használatával az Azure Stack HCI-n és a Windows Serveren, valamint konfigurációk üzembe helyezése az AksHci-ban a GitOps és a Flux v2 használatával az alkalmazás folytonossága érdekében.

Windows Admin Center követelmények

Windows Admin Center az Azure Arc által engedélyezett AKS létrehozására és kezelésére szolgáló felhasználói felület. Ha Windows Admin Center szeretne használni az AKS-sel az Azure Stack HCI-n és a Windows Serveren, az alábbi listában szereplő összes feltételnek meg kell felelnie.

A Windows Admin Center átjárót futtató gépre vonatkozó követelmények:

• Windows 10 vagy Windows Server.
• Regisztrálva az Azure-ban.
• Ugyanabban a tartományban, mint az Azure Stack HCI vagy a Windows Server Datacenter-fürt.
• Egy Azure-előfizetés, amelyen tulajdonosi jogosultságokkal rendelkezik. A hozzáférési szint ellenőrzéséhez navigáljon az előfizetéshez, és válassza a Hozzáférés-vezérlés (IAM) lehetőséget a Azure Portal bal oldalán, majd válassza a Hozzáférés megtekintése lehetőséget.

Azure-követelmények

Csatlakoznia kell az Azure-fiókjához.

Azure-fiók és -előfizetés

Ha még nem rendelkezik Azure-fiókkal, hozzon létre egyet. Bármilyen típusú meglévő előfizetést használhat:

• Ingyenes fiók Azure-kreditekkel diákok vagy Visual Studio-előfizetők számára.
• Használatalapú fizetéses előfizetés hitelkártyával.
• Egy Nagyvállalati Szerződés (EA) keresztül beszerzett előfizetés.
• A Felhőszolgáltató (CSP) programon keresztül beszerzett előfizetés.

Microsoft Entra engedélyek, szerepkör és hozzáférési szint

Megfelelő engedélyekkel kell rendelkeznie ahhoz, hogy regisztráljon egy alkalmazást a Microsoft Entra bérlőjéhez.

Ha ellenőrizni szeretné, hogy rendelkezik-e megfelelő engedélyekkel, kövesse az alábbi információkat:

• Lépjen a Azure Portal, és válassza a Szerepkörök és rendszergazdák lehetőséget a Microsoft Entra ID alatt a szerepkör ellenőrzéséhez.
• Ha a szerepköre Felhasználó, győződjön meg arról, hogy a nem rendszergazdák regisztrálhatnak alkalmazásokat.
• Ha ellenőrizni szeretné, hogy regisztrálhat-e alkalmazásokat, lépjen a Felhasználói beállítások területre a Microsoft Entra szolgáltatásban, és ellenőrizze, hogy rendelkezik-e engedéllyel az alkalmazások regisztrálásához.

Ha az alkalmazásregisztrációk beállítás értéke Nem, csak rendszergazdai szerepkörrel rendelkező felhasználók regisztrálhatják ezeket az alkalmazástípusokat. A rendelkezésre álló rendszergazdai szerepkörökről és az egyes szerepkörökhöz kapott Microsoft Entra ID adott engedélyeiről az Microsoft Entra beépített szerepkörök című témakörben olvashat. Ha a fiókjához a Felhasználói szerepkör van hozzárendelve, de az alkalmazásregisztrációs beállítás rendszergazdai felhasználókra korlátozódik, kérje meg a rendszergazdát, hogy rendelje hozzá Az alkalmazásregisztrációk összes aspektusát létrehozó és kezelő rendszergazdai szerepkörök egyikét, vagy engedélyezze a felhasználók számára az alkalmazások regisztrálását.

Ha nincs elég engedélye egy alkalmazás regisztrálásához, és a rendszergazda nem tudja megadni ezeket az engedélyeket, az AKS üzembe helyezésének legegyszerűbb módja, ha megkéri az Azure-rendszergazdát, hogy hozzon létre egy megfelelő engedélyekkel rendelkező szolgáltatásnevet. A rendszergazdák az alábbi szakaszban tájékozódhatnak a szolgáltatásnév létrehozásáról.

Azure-előfizetési szerepkör és hozzáférési szint

A hozzáférési szint ellenőrzéséhez lépjen az előfizetéshez, válassza a Hozzáférés-vezérlés (IAM) lehetőséget a Azure Portal bal oldalán, majd válassza a Hozzáférés megtekintése lehetőséget.

• Ha Windows Admin Center használ egy AKS-gazdagép vagy egy AKS számítási feladatfürt üzembe helyezéséhez, rendelkeznie kell egy Azure-előfizetéssel, amelyen Ön tulajdonos.
• Ha a PowerShellt használja egy AKS-gazdagép vagy egy AKS számítási feladatfürt üzembe helyezéséhez, a fürtöt regisztráló felhasználónak rendelkeznie kell a következők legalább egyikével:
  • Egy beépített tulajdonosi szerepkörrel rendelkező felhasználói fiók.
  • Szolgáltatásnév a következő hozzáférési szintek egyikével:
    • A beépített közreműködői szerepkör.
    • A beépített Tulajdonos szerepkör.

Ha az Azure-előfizetése EA-on vagy CSP-on keresztül történik, az AKS üzembe helyezésének legegyszerűbb módja, ha megkéri az Azure-rendszergazdát, hogy hozzon létre egy megfelelő engedélyekkel rendelkező szolgáltatásnevet. A rendszergazdák a szolgáltatásnév létrehozásának módjáról az alábbi szakaszt tekinthetik meg.

Nem kötelező: új szolgáltatásnév létrehozása

Az alábbi lépések végrehajtásával hozzon létre egy új szolgáltatásnevet a beépített Tulajdonos szerepkörrel. Csak az előfizetés-tulajdonosok hozhatnak létre a megfelelő szerepkör-hozzárendeléssel rendelkező szolgáltatásneveket. A hozzáférési szint ellenőrzéséhez navigáljon az előfizetéséhez, válassza a Hozzáférés-vezérlés (IAM) lehetőséget a Azure Portal bal oldalán, majd válassza a Hozzáférés megtekintése lehetőséget.

Állítsa be a következő PowerShell-változókat egy PowerShell-rendszergazdai ablakban. Ellenőrizze, hogy az előfizetést és a bérlőt szeretné-e használni az AKS-gazdagép számlázáshoz való regisztrálásához:

$subscriptionID = "<Your Azure subscrption ID>"
$tenantID = "<Your Azure tenant ID>"

Telepítse és importálja az AKS PowerShell-modult:

Install-Module -Name AksHci

Jelentkezzen be az Azure-ba a Connect-AzAccount PowerShell paranccsal:

Connect-AzAccount -tenant $tenantID

A Set-AzContext parancs futtatásával állítsa be azt az előfizetést, amelyet az AKS-gazdagép számlázáshoz való regisztrálásához szeretne használni alapértelmezett előfizetésként:

Set-AzContext -Subscription $subscriptionID

A Get-AzContext PowerShell parancs futtatásával ellenőrizze, hogy helyes-e a bejelentkezési környezet. Ellenőrizze, hogy az előfizetést, a bérlőt és a fiókot szeretné-e használni az AKS-gazdagép számlázáshoz való regisztrálásához:

Get-AzContext

Name                                     Account                      SubscriptionName             Environment                  TenantId
----                                     -------                      ----------------             -----------                  --------
myAzureSubscription (92391anf-...        user@contoso.com             myAzureSubscription          AzureCloud                   xxxxxx-xxxx-xxxx-xxxxxx

Hozzon létre egy szolgáltatásnevet a New-AzADServicePrincipal PowerShell parancs futtatásával. Ez a parancs létrehoz egy tulajdonosi szerepkörrel rendelkező szolgáltatásnevet, és előfizetési szinten állítja be a hatókört. További információ a szolgáltatásnevek létrehozásáról: Azure-szolgáltatásnév létrehozása Azure PowerShell.

$sp = New-AzADServicePrincipal -role "Owner" -scope /subscriptions/$subscriptionID

Az alábbi parancs futtatásával kérje le a szolgáltatásnév jelszavát. Vegye figyelembe, hogy ez a parancs csak az Az.Accounts 2.6.0-s vagy újabb verziójához működik. Az AksHci PowerShell-modul telepítésekor automatikusan letöltjük az Az.Accounts 2.6.0 modult:

$secret = $sp.PasswordCredentials[0].SecretText
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"

Az előző kimenetben már rendelkezik az alkalmazásazonosítóval és a titkos kóddal az AKS üzembe helyezésekor. Jegyezze fel ezeket az elemeket, és tárolja őket biztonságosan. A létrehozott Azure Portal az Előfizetések, Access Control, majd a Szerepkör-hozzárendelések területen meg kell jelennie az új szolgáltatásnévnek.

Azure-erőforráscsoport

Regisztráció előtt rendelkeznie kell egy Azure-erőforráscsoportval az Usa keleti régiójában, az USA keleti régiójában, Délkelet-Ázsiában vagy Nyugat-Európában.

Azure-régiók

Figyelmeztetés

Az AKS Arc jelenleg kizárólag a következő meghatározott Azure-régiókban támogatja a fürtök létrehozását. Ha a listában kívüli régióban próbál üzembe helyezést végezni, üzembe helyezési hiba történik.

Az AKS Arc szolgáltatást a regisztrációhoz, számlázáshoz és felügyelethez használják. Jelenleg a következő régiókban támogatott:

• USA keleti régiója
• USA déli középső régiója
• Nyugat-Európa

Az Active Directory követelményei

Ha egy 2 vagy több fizikai csomópontot tartalmazó AKS-feladatátvevő fürt optimálisan működik egy Active Directory-környezetben, győződjön meg arról, hogy a következő követelmények teljesülnek:

Megjegyzés

Az Active Directory nem szükséges egyetlen csomópontos Azure Stack HCI- vagy Windows Server-üzemelő példányokhoz.

• Állítsa be az időszinkronizálást úgy, hogy az eltérés ne haladja meg a 2 percet az összes fürtcsomóponton és a tartományvezérlőn. Az időszinkronizálás beállításával kapcsolatos információkért lásd: Windows időszolgáltatás.
• Győződjön meg arról, hogy a frissítés hozzáadásához és az AKS- vagy Windows Server Datacenter-fürtök kezeléséhez használt felhasználói fiók(ok) megfelelő engedélyekkel rendelkezik az Active Directoryban. Ha szervezeti egységeket (szervezeti egységeket) használ a kiszolgálók és szolgáltatások csoportházirendjeinek kezeléséhez, a felhasználói fiókoknak listára, olvasásra, módosításra és törlésre van szükségük a szervezeti egység összes objektumára vonatkozóan.
• Az AKS vagy a Windows Server Datacenter-fürtök kiszolgálóihoz és szolgáltatásaihoz használjon külön szervezeti egységet (OU). Egy külön szervezeti egység használatával részletesebben szabályozhatja a hozzáférést és az engedélyeket.
• Ha GPO-sablonokat használ az Active Directoryban található tárolókon, győződjön meg arról, hogy az AKS üzembe helyezése az Azure Stack HCI-ben és a Windows Serveren mentes a szabályzat alól.

Következő lépések

Miután teljesítette a fenti összes előfeltételt, beállíthat egy AKS-gazdagépet az Azure Stack HCI-ben a következőkkel:

• Windows Admin Center
• PowerShell