A Azure Stack HCI-n üzemelő Azure Kubernetes Service

A következőkre vonatkozik: Azure Stack HCI 21H2 és 20H2 verziók; Windows Server 2022 Datacenter, Windows Server 2019 Datacenter

Ez a cikk a Azure Stack HCI-n üzemelő Azure Kubernetes Service a Windows Server 2019 Datacenterben való beállításának és Kubernetes-fürtök létrehozására való használatának követelményeit tartalmazza. A termékről az AKS Azure Stack HCI-n üzemelő Azure Kubernetes Service áttekintésében Azure Stack HCI olvashat.

Hardverkövetelmények meghatározása

A Microsoft egy ellenőrzött hardveres Azure Stack HCI/szoftvermegoldás megvásárlását javasolja partnereinktől. Ezek a megoldások a referenciaarchitektúránk alapján vannak megtervve, összeállítva és ellenőrizve, hogy a kompatibilitást és a megbízhatóságot biztosítják a gyors használathoz. Ellenőrizze, hogy az Ön által használt rendszerek, összetevők, eszközök és illesztőprogramok tanúsítva vannak-e Windows Server 2019 kiszolgálónként, Windows kiszolgálókatalógus szerint. Az ellenőrzött Azure Stack HCI a következő webhelyet: .

Általános követelmények

Ha Azure Stack HCI-n üzemelő Azure Kubernetes Service vagy Windows Server 2019 Datacenter optimálisan működik egy Active Directory-környezetben, győződjön meg arról, hogy teljesülnek a következő követelmények:

  • Győződjön meg arról, hogy az időszinkronizálás be van állítva, és az eltérés nem nagyobb 2 percnél az összes fürtcsomóponton és a tartományvezérlőn. További információ az időszinkronizálás beállításával kapcsolatban: Windows Time Service.

  • Győződjön meg arról, hogy a frissítéseket hozzácsató és az Azure Stack HCI-n üzemelő Azure Kubernetes Service- vagy Windows Server 2019 Datacenter-fürtök kezeléséhez szükséges felhasználói fiókok megfelelő engedélyekkel Active Directory. Ha szervezeti egységeket (OU-k) használ a kiszolgálókra és szolgáltatásokra vonatkozó csoportházirendek kezeléséhez, a felhasználói fiókoknak listára, olvasásra, módosításra és törlésre van szükségük a szervezeti egységben lévő összes objektumra vonatkozó engedélyekhez.

  • Javasoljuk, hogy külön szervezeti egységben adja meg a kiszolgálókat és szolgáltatásokat, amelyekhez hozzáadja Azure Stack HCI-n üzemelő Azure Kubernetes Service vagy Windows Server 2019 Datacenter-fürtöt. Külön szervezeti egység használatával részletesebben szabályozhatja a hozzáférést és az engedélyeket.

  • Ha csoportházirend-objektumsablonokat használ a Active Directory-tárolókon, győződjön meg arról, hogy az AKS Azure Stack HCI a szabályzat alól. A kiszolgáló-megeredés egy későbbi kiadásban lesz elérhető.

Azure-követelmények

Azure-fiók és -előfizetés

Ha még nem rendelkezik Azure-fiókkal, hozzon létre egyet. Bármilyen típusú meglévő előfizetést használhat:

  • Ingyenes fiók azure-kreditekkel tanulók vagy Visual Studio előfizetők számára
  • Pay-as-you-go subscription with Credit Card (Fizetés fizetés, kártyával)
  • Előfizetés egy Nagyvállalati Szerződés (EA)
  • Előfizetés a Felhőszolgáltató (CSP) programon keresztül

Azure AD-engedélyek, szerepkör- és hozzáférési szint

Az alkalmazások Azure AD-bérlőben való regisztrálásához megfelelő engedélyekkel kell rendelkeznie.

Annak ellenőrzéshez, hogy rendelkezik-e a megfelelő engedélyekkel, kövesse az alábbi információkat:

  • A szerepkör ellenőrzés Azure Portal kattintson a Szerepkörök és rendszergazdák elemre a Azure Active Directory alatt.
  • Ha a szerepköre User (Felhasználó), akkor meg kell győződnie arról, hogy a nem rendszergazdai felhasználók is regisztrálhatják az alkalmazásokat.
  • Annak ellenőrzéséhez, hogy regisztrálhat-e alkalmazásokat, a Azure Active Directory szolgáltatás Felhasználói beállítások lehetőségével ellenőrizze, hogy rendelkezik-e engedéllyel az alkalmazások regisztrálásához.

Ha az alkalmazásregisztrációk beállítása Nem,csak a rendszergazdai szerepkörben rendelkező felhasználók regisztrálhatnak ilyen típusú alkalmazásokat. Az elérhető rendszergazdai szerepkörökről és az egyes szerepkörökhöz adott Azure AD-engedélyekrőlaz Azure AD beépített szerepköreit () olvashat. Ha a fiókhoz felhasználói szerepkör van hozzárendelve, de az alkalmazásregisztrációs beállítás a rendszergazdai felhasználókra van korlátozva, kérje meg a rendszergazdát, hogy rendeljen Hozzá egy olyan rendszergazdai szerepkört, amely az alkalmazásregisztrációk összes aspektusát létrehozhatja és kezelheti, vagy engedélyezze a felhasználóknak az alkalmazások regisztrálását.

Ha nem rendelkezik elegendő engedéllyel egy alkalmazás regisztrálásához, és a rendszergazda nem tudja önnek adni ezeket az engedélyeket, az AKS Azure Stack HCI-ban való üzembe helyezésének legegyszerűbb módja, ha megkéri az Azure-rendszergazdát, hogy hozzon létre egy szolgáltatásnévt a megfelelő engedélyekkel. A rendszergazdák a következő szakaszban megtudhatják, hogyan hozhatnak létre szolgáltatásnévket.

Azure-előfizetés szerepköre és hozzáférési szintje

A hozzáférési szint ellenőrzéséhez navigáljon az előfizetéséhez, kattintson a hozzáférés-vezérlés (IAM) elemre a Azure Portal bal oldalán, majd kattintson a Saját hozzáférés megtekintése elemre.

  • Ha a felügyeleti központot Windows egy AKS-gazdagép vagy egy AKS számítási feladatfürt üzembe helyezéséhez, akkor olyan Azure-előfizetéssel kell rendelkezik, amelynek Ön a tulajdonosa.
  • Ha a PowerShell használatával helyez üzembe egy AKS-gazdagépet vagy egy AKS számítási feladatfürtöt, a fürtöt regisztráló felhasználónak a következők legalább egyikével kell lennie:

Ha az Azure-előfizetés ea-on vagy CSP-on keresztül érhető el, az AKS Azure Stack HCI-ban való üzembe helyezésének legegyszerűbb módja, ha megkéri az Azure-rendszergazdát, hogy hozzon létre egy szolgáltatásnévt a megfelelő engedélyekkel. A rendszergazdák az alábbi szakaszban ellenőrizhetik, hogyan hozhatnak létre szolgáltatásnévket.

Nem kötelező: Új szolgáltatásnév létrehozása

Az alábbi lépések futtatásával hozzon létre egy új szolgáltatásnévt a beépített Microsoft.Kubernetes csatlakoztatott fürtszerepkerrel. Vegye figyelembe, hogy csak az előfizetések tulajdonosai hozhatnak létre szolgáltatásnévket a megfelelő szerepkör-hozzárendeléssel. A hozzáférési szintet úgy ellenőrizheti, hogy megnyitja az előfizetését, a bal oldalon a Hozzáférés-vezérlés (IAM) elemre kattint Azure Portal majd a Saját hozzáférés megtekintése elemre kattint.

Telepítse és importálja a következő Azure PowerShell modulokat:

Install-Module -Name Az.Accounts -Repository PSGallery -RequiredVersion 2.2.4
Import-Module Az.Accounts 
Install-Module -Name Az.Resources -Repository PSGallery -RequiredVersion 3.2.0
Import-Module Az.Resources
Install-Module -Name AzureAD -Repository PSGallery -RequiredVersion 2.0.2.128
Import-Module AzureAD

Zárja be az összes PowerShell-ablakot, és nyisson meg újra egy új felügyeleti munkamenetet.

Jelentkezzen be az Azure-ba a Csatlakozás-AzAccount PowerShell-paranccsal:

Connect-AzAccount

A Set-AzContext parancs futtatásával állítsa be azt az előfizetést, amelyet az AKS-gazdagép számlázáshoz való alapértelmezett előfizetésként való regisztrálásához használni szeretne.

Set-AzContext -Subscription myAzureSubscription

A Get-AzContext PowerShell-parancs futtatásával ellenőrizze, hogy a bejelentkezési környezet megfelelő-e. Ellenőrizze, hogy az előfizetést, a bérlőt és a fiókot szeretné-e használni az AKS-gazdagép számlázásra való regisztrálásához.

Get-AzContext
Name                                     Account                      SubscriptionName             Environment                  TenantId
----                                     -------                      ----------------             -----------                  --------
myAzureSubscription (92391anf-...        user@contoso.com             myAzureSubscription          AzureCloud                   xxxxxx-xxxx-xxxx-xxxxxx

Hozzon létre egy egyszerű szolgáltatást a New-AzADServicePrincipal PowerShell-parancs futtatásával. Ez a parancs létrehoz egy szolgáltatásnév a "Microsoft.Kubernetes csatlakoztatott fürt" szerepkörrel, és a hatókört előfizetési szinten állítja be. További információ a szolgáltatásnév létrehozásáról: Azure-szolgáltatásnév létrehozása a Azure PowerShell.

$sp = New-AzADServicePrincipal -role "Microsoft.Kubernetes connected cluster"

Az alábbi parancs futtatásával olvassa be a szolgáltatásnév jelszavát:

$secret = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret))
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"

A fenti kimenetből most már rendelkezésre áll az alkalmazásazonosító és a titkos kód, amikor az AKS-t üzembe Azure Stack HCI. Jegyezze fel ezeket az elemeket, és tárolja őket biztonságosan. Ha ez létrejött, a Azure Portal előfizetések ,Access Control, majd szerepkör-hozzárendelések alatt az új szolgáltatásnévnek kell látsza.

Azure-erőforráscsoport

A regisztráció előtt rendelkezésre kell áll egy Azure-erőforráscsoport az USA keleti régiójában, Délkelet-Ázsiában vagy Nyugat-Európában.

Számítási követelmények

  • Tesztkörnyezetek esetén: Azure Stack HCI fürt vagy Windows Server 2019 Datacenter feladatátvevő fürt, legfeljebb négy kiszolgálóval a fürtben. Javasoljuk, hogy a fürt minden kiszolgálója legalább 8 (ajánlott 16) processzormaggal és legalább 256 GB RAM-mal rendelkezik.

  • Éles környezetben: Azure Stack HCI fürt vagy Windows Server 2019 Datacenter feladatátvevő fürt, amely legfeljebb négy kiszolgálót tartalmaz a fürtben. Javasoljuk, hogy a fürt minden kiszolgálója legalább 16 (ajánlott 32) processzormaggal és legalább 256 GB RAM-mal rendelkezik. A végső méretezés az alkalmazástól és a munkavégző csomópontok számától függ, amelyek üzembe helyezését tervezi a Azure Stack HCI fürtön.

  • Bár technikailag futtathat Azure Kubernetes Service Server 2019 Datacenter egyetlen csomópontján, Windows, nem javasoljuk. A kiszolgálót azonban Azure Kubernetes Service server 2019 Datacenter Windows futtathatja kiértékelési célokra.

  • A számítási feladatok egyéb Azure Stack HCI-n üzemelő Azure Kubernetes Service megfelelnek a Azure Stack HCI követelményeinek. A Azure Stack HCI követelményekkel kapcsolatos további részletekért Azure Stack HCI rendszerkövetelményeket.

  • Telepítenie kell a Azure Stack HCI operációs rendszert a fürt minden kiszolgálóján az EN-US régió és a nyelv kiválasztásával. Ezeket a beállításokat jelenleg nem módosíthatja a telepítés után.

Általános hálózati követelmények

A következő követelmények vonatkoznak egy Azure Stack HCI fürtre és egy Windows Server 2019 Datacenter-fürtre:

  • Ha a Felügyeleti központot használja, ellenőrizze, hogy van-e Windows virtuális kapcsoló. A Azure Stack HCI esetén ennek a kapcsolónak és nevének azonosnak kell lennie az összes fürtcsomóponton.

  • Ellenőrizze, hogy letiltotta-e az IPv6 protokollt az összes hálózati adapteren.

  • A sikeres üzembe helyezéshez az Azure Stack HCI fürtcsomópontoknak és a Kubernetes-fürt virtuális gépeinek külső internetkapcsolattal kell rendelkezik.

  • Győződjön meg arról, hogy a fürthöz definiálott összes alhálózat átirányítható egymással és az internetre.

  • Ellenőrizze, hogy van-e hálózati kapcsolat Azure Stack HCI gazdagépek és a bérlői virtuális gépek között.

  • DNS-névfeloldás szükséges ahhoz, hogy az összes csomópont kommunikáljon egymással.

  • (Ajánlott) Engedélyezze a dinamikus DNS-frissítéseket a DNS-környezetben, hogy az Azure Stack HCI AKS regisztrálja a felhőügynök általános fürtnevét a DNS-rendszerben a felderítéshez. Ha a dinamikus DNS nem választható, kövesse a Set-AksHciConfigfájlban előírt lépéseket.

IP-cím-hozzárendelés

Az AKS-Azure Stack HCI virtuális hálózatok segítségével foglalnak le IP-címeket az azokat igénylő Kubernetes-erőforrásokhoz, a fent felsoroltak szerint. Két hálózatmodell közül választhat, attól függően, hogy melyik AKS-t szeretné Azure Stack HCI hálózati architektúrában.

Megjegyzés

Az AKS-hez itt meghatározott virtuális hálózati architektúra Azure Stack HCI az adatközpontban lévő mögöttes fizikai hálózati architektúrától.

  • Statikus IP-hálózat – A virtuális hálózat statikus IP-címeket foglal le a Kubernetes-fürt API-kiszolgálója, a Kubernetes-csomópontok, a mögöttes virtuális gépek, a terheléselosztások és a fürtön futtatott Kubernetes-szolgáltatások számára.

  • DHCP-hálózat – A virtuális hálózat dinamikus IP-címeket foglal le a Kubernetes-csomópontokhoz, az alapul szolgáló virtuális gépekhez és terheléselosztásokhoz EGY DHCP-kiszolgáló használatával. A Kubernetes-fürt API-kiszolgálója és a fürtön futtatott Kubernetes-szolgáltatások továbbra is statikus IP-címeket vannak lefoglalva.

MINIMÁLIS IP-címfoglalás

Legalább a következő számú IP-címet kell lefoglalni az üzemelő példány számára:

Fürt típusa Vezérlősík csomópontja Feldolgozó csomópont Frissítési műveletekhez Terheléselosztóval
AKS-gazdagép 1 IP NA 2 IP NA
Számítási feladat fürt Csomópontonként 1 IP Csomópontonként 1 IP 5 IP 1 IP

Emellett a következő számú IP-címet kell lefoglalni a VIP-készlet számára:

Erőforrás típusa IP-címek száma
Fürt API-kiszolgálója Fürtönként 1
Kubernetes-szolgáltatások Szolgáltatásonként 1

Amint látható, a szükséges IP-címek száma változó az Azure Stack HCI-architektúrán futó AKS-től és a Kubernetes-fürtön futtatott szolgáltatások számától függően. Javasoljuk, hogy az üzemelő példányhoz összesen 256 IP-címet (/24 alhálózatot) osszon ki.

A hálózati követelményekkel kapcsolatos további információkért látogasson el az AKS-hez a Azure Stack HCI csomóponthálózati fogalmait és az AKStárolóhálózati fogalmait a Azure Stack HCI.

Hálózati portra és URL-címre vonatkozó követelmények

Amikor Azure Kubernetes-fürtöt hoz létre a Azure Stack HCI, a következő tűzfalportok automatikusan meg vannak nyitva a fürt minden kiszolgálóján.

Tűzfalport Description
45000 wssdagent GPRC-kiszolgálóport
45001 wssdagent GPRC hitelesítési port
55000 wssdcloudagent GPRC-kiszolgálóport
65000 wssdcloudagent GPRC hitelesítési port

Tűzfal URL-címének kivételei szükségesek a felügyeleti Windows gép és a fürt összes csomópontja Azure Stack HCI számára.

URL-cím Port Jegyzetek
msk8s.api.cdp.microsoft.com 443 Az AKS termékkatalógusból, termék Azure Stack HCI bitből és operációsrendszer-lemezképek SFS-ről való letöltésekor használatos. Akkor fordul elő, ha Set-AksHciConfig fut, és bármikor letölti az SFS-ről.
msk8s.b.tlu.dl.delivery.mp.microsoft.com 80 Az AKS termékkatalógusból, termék Azure Stack HCI bitből és operációsrendszer-lemezképek SFS-ről való letöltésekor használatos. Akkor fordul elő, ha Set-AksHciConfig fut, és bármikor letölti az SFS-ről.
msk8s.f.tlu.dl.delivery.mp.microsoft.com 80 Az AKS termékkatalógusból, termék Azure Stack HCI bitből és operációsrendszer-lemezképek SFS-ről való letöltésekor használatos. Akkor fordul elő, ha Set-AksHciConfig fut, és bármikor letölti az SFS-ről.
login.microsoftonline.com 443 Az Azure-ba való bejelentkezéskor használatos a Set-AksHciRegistration futtatásakor.
login.windows.net 443 Az Azure-ba való bejelentkezéskor használatos a Set-AksHciRegistration futtatásakor.
management.azure.com 443 Az Azure-ba való bejelentkezéskor használatos a Set-AksHciRegistration futtatásakor.
www.microsoft.com 443 Az Azure-ba való bejelentkezéskor használatos a Set-AksHciRegistration futtatásakor.
msft.sts.microsoft.com 443 Az Azure-ba való bejelentkezéskor használatos a Set-AksHciRegistration futtatásakor.
graph.windows.net 443 A futtatásakor Install-AksHci használatos.
ecpacr.azurecr.io 443 Tároló rendszerképeket kell lekérte a Install-AksHci futtatásakor.
*.blob.core.windows.net
USA-végpont: wus2replica*.blob.core.windows.net
443 Tároló rendszerképeket kell lekérte a Install-AksHci futtatásakor.
mcr.microsoft.com 443 Tároló rendszerképeket kell lekérte a Install-AksHci futtatásakor.
*.mcr.microsoft.com 443 Tároló rendszerképeket kell lekérte a Install-AksHci futtatásakor.
*.data.mcr.microsoft.com 443 Tároló rendszerképeket kell lekérte a Install-AksHci futtatásakor.
akshci.azurefd.net 443 Az on-Azure Stack HCI AKS-hez szükséges Install-AksHci a futtatásakor.

Megjegyzés

Mivel a felügyeleti fürt (AKS-gazdagép) Azure Arc a számlázáshoz, az engedélyezett Kubernetes Azure Arc hálózati követelményeket kell követnie. Tekintse át a következő URL-Azure Stack HCI is:.

Storage követelmények

A következő tároló-implementációkat támogatja a Azure Stack HCI-n üzemelő Azure Kubernetes Service:

Name Tárolási típus Szükséges kapacitás
Azure Stack HCI fürt Fürt megosztott kötetei 1 TB
Windows Server 2019 Datacenter feladatátvevő fürt Fürt megosztott kötetei 1 TB
Egycsomópontos Windows Server 2019 Datacenter Közvetlenül csatlakoztatott Storage 500 GB

A virtuális Azure Stack HCI két támogatott tárolási konfigurációval futtatja a virtuális gépek számítási feladatait. Hibrid tárolás, amely a teljesítményt és a kapacitást a teljes flash tároló- és merevlemez-meghajtók (HDD-k) és a teljes teljesítményű tárolás segítségével egyensúlyba hozza, és amely maximális teljesítményt nyújt SSD-k vagy NVMe segítségével. A csak HDD-alapú tárolóval Azure Stack HCI rendszerek nem támogatottak, ezért nem ajánlott az AKS-t Azure Stack HCI. Az ajánlott meghajtókonfigurációkról a következő dokumentációban Azure Stack HCI olvashat. A katalógusban ellenőrzött összes Azure Stack HCI a fenti két támogatott tárolási konfiguráció egyikében található.

A Windows Server 2019 Datacenter-alapú fürtök esetén a telepítést helyi vagy SAN-alapú tárolóval is használhatja. Helyi tárolás esetén ajánlott a beépített Tárolóhelyek Direct, vagy egy ezzel egyenértékű tanúsítvánnyal rendelkező virtuális SAN-megoldás használatával létrehozni egy hiperkonvergált infrastruktúrát, amely a megosztott fürtköteteket mutatja be a számítási feladatokhoz. A Tárolóhelyek esetében a tárolónak hibridnek (flash + HDD) kell lennie, amely a teljesítményt és a kapacitást egyensúlyba hozza, vagy a teljesítményt maximalizáló, teljesen flash (SSD, NVMe). Ha SAN-alapú tárolással való üzembe helyezést választ, győződjön meg arról, hogy a SAN-tároló elegendő teljesítményt nyújt több virtuális gép számítási feladatának futtatásához. Előfordulhat, hogy a régebbi HDD-alapú SAN-tárolók nem biztosítják a virtuális gépek több számítási feladatának futtatásához szükséges teljesítményszinteket, és teljesítménybeli problémákat és időtúllépéseket láthat.

A helyi tárolót használó egycsomópontos Windows Server 2019-környezetek esetében erősen ajánlott a teljes körű tárolás (SSD, NVMe) használata ahhoz, hogy egyetlen fizikai gazdagépen több virtuális gépnek is megfelelő teljesítményt nyújtsunk. Flash storage nélkül a HDD-k alacsonyabb teljesítménye üzembe helyezési problémákat és időtúllépéseket okozhat.

A támogatott hardverek maximális specifikációinak áttekintése

Azure Stack HCI-n üzemelő Azure Kubernetes Service alábbi specifikációkat meghaladó központi telepítések nem támogatottak:

Erőforrás Maximum
Fizikai kiszolgálók fürtönként 4
Kubernetes-fürtök 4
Virtuális gépek teljes száma 200

Windows Felügyeleti központ követelményei

Windows Felügyeleti központ a felügyeleti fiókok létrehozására és kezelésére szolgáló Azure Stack HCI-n üzemelő Azure Kubernetes Service. Ahhoz, Windows felügyeleti központot Azure Stack HCI-n üzemelő Azure Kubernetes Service, meg kell felelnie az alábbi listában található összes feltételnek.

A felügyeleti központ átjáróját futtató Windows követelményei a következőek:

  • Windows 10 vagy Windows-kiszolgálógép
  • Regisztrálva van az Azure-ban
  • Ugyanabban a tartományban, mint az Azure Stack HCI vagy Windows Server 2019 Datacenter-fürt
  • Egy Azure-előfizetés, amelynek Ön a tulajdonosa. A hozzáférési szintet úgy ellenőrizheti, hogy megnyitja az előfizetését, a bal oldalon a Hozzáférés-vezérlés (IAM) elemre kattint Azure Portal majd a Hozzáférés megtekintése elemre kattint.

Következő lépések

Miután az összes fenti előfeltétel teljesült, a következővel állíthat be Azure Kubernetes Service gazdagépet Azure Stack HCI gazdagépen: