Persyaratan sistem untuk AKS yang diaktifkan oleh Azure Arc di Azure Stack HCI 22H2

Berlaku untuk: Azure Stack HCI, versi 22H2; Windows Server 2022, Windows Server 2019

Artikel ini menjelaskan persyaratan untuk menyiapkan Azure Kubernetes Service (AKS) yang diaktifkan oleh Azure Arc. Untuk gambaran umum AKS yang diaktifkan oleh Arc, lihat gambaran umum AKS.

Persyaratan perangkat keras

Microsoft merekomendasikan untuk membeli solusi perangkat keras/perangkat lunak Azure Stack HCI yang divalidasi dari mitra kami. Solusi ini dirancang, dirakit, dan divalidasi berdasarkan arsitektur referensi kami untuk memastikan kompatibilitas serta keandalannya sehingga Anda dapat mengaktifkan dan menjalankannya dengan cepat. Anda harus memeriksa apakah sistem, komponen, perangkat, dan driver yang Anda gunakan telah Bersertifikasi Windows Server sesuai Katalog Windows Server. Lihat situs web solusi Azure Stack HCI untuk solusi yang divalidasi.

Penting

Sistem host untuk penyebaran produksi harus berupa perangkat keras fisik. Virtualisasi berlapis, ditandai sebagai menyebarkan Azure Stack HCI atau Windows Server di komputer virtual dan menginstal AKS di komputer virtual tersebut, tidak didukung.

Spesifikasi maksimum untujk perangkat keras yang didukung

Penyebaran AKS di Azure Stack HCI dan Windows Server yang melebihi spesifikasi berikut ini tidak didukung:

Sumber daya	Maksimum
Server fisik per kluster	8 (Azure Stack HCI versi 22H2 dan Windows Server)
Jumlah total VM	200

Persyaratan komputasi

Persyaratan memori minimal

Anda dapat menyiapkan kluster AKS dengan cara berikut, untuk menjalankan AKS pada satu simpul Windows Server dengan RAM terbatas:

Jenis kluster	Ukuran VM sarana kontrol	Simpul pekerja	Untuk operasi perbarui	Load balancer
Host AKS	Ukuran VM Standard_A4_v2 = 8GB	N/A - Host AKS tidak memiliki simpul pekerja.	8GB	N/A - Host AKS menggunakan kubevip untuk penyeimbangan beban.
kluster beban kerja	Ukuran VM Standard_A4_v2 = 8GB	Standard_K8S3_v1 untuk 1 simpul pekerja = 6GB	Dapat menggunakan kembali 8GB yang dipesan ini untuk peningkatan kluster beban kerja.	T/A jika kubevip digunakan untuk penyeimbangan beban (bukan penyeimbang beban HAProxy default).

Total persyaratan minimum: RAM 30 GB.

Persyaratan minimum ini adalah untuk penyebaran AKS dengan satu simpul pekerja untuk menjalankan aplikasi kontainer. Jika Anda memilih untuk menambahkan simpul pekerja atau load balancer HAProxy, persyaratan RAM akhir akan berubah.

Persyaratan komputasi yang direkomendasikan

Lingkungan	Core CPU per server	RAM
Azure Stack HCI	32	256 GB
Kluster failover Windows Server	32	256 GB
Windows Server simpul tunggal	16	128 GB

Untuk lingkungan produksi, ukuran akhir tergantung pada aplikasi dan jumlah simpul pekerja yang Anda rencanakan untuk disebarkan pada kluster Azure Stack HCI atau Windows Server. Jika Anda memilih untuk menjalankan AKS pada Windows Server simpul tunggal, Anda tidak mendapatkan fitur seperti ketersediaan tinggi yang disertakan dengan menjalankan AKS pada kluster Azure Stack HCI atau Windows Server atau kluster failover Windows Server.

Persyaratan komputasi lainnya untuk AKS di Azure Stack HCI dan Windows Server sejalan dengan persyaratan Azure Stack HCI. Lihat Persyaratan sistem Azure Stack HCI untuk informasi selengkapnya tentang persyaratan server Azure Stack HCI.

Anda harus menginstal sistem operasi yang sama di setiap server pada kluster. Jika Anda menggunakan Azure Stack HCI, OS dan versi yang sama harus berada di setiap server di kluster. Jika Anda menggunakan Pusat Data Windows Server, OS dan versi yang sama harus sama pada setiap server di kluster. Setiap OS harus menggunakan wilayah en-us dan pilihan bahasa. Anda tidak dapat mengubah pengaturan tersebut setelah instalasi.

Persyaratan penyimpanan

AKS di Azure Stack HCI dan Windows Server mendukung implementasi penyimpanan berikut:

Nama	Jenis penyimpanan	Kapasitas yang diperlukan
Kluster Azure Stack HCI	Volume bersama kluster	1 TB
Kluster failover Pusat Data Windows Server	Volume bersama kluster	1 TB
Pusat Data Windows Server Simpul Tunggal	Penyimpanan terpasang langsung	500 GB

Untuk kluster Azure Stack HCI atau Windows Server, ada dua konfigurasi penyimpanan yang didukung untuk menjalankan beban kerja komputer virtual:

• Penyimpanan hibrida menyeimbangkan kinerja serta kapasitas menggunakan penyimpanan flash dan hard disk drive (HDD).
• Penyimpanan all-flash memaksimalkan kinerja melalui solid-state drive (SSD) atau NVMe.

Sistem yang hanya memiliki penyimpanan berbasis HDD tidak didukung oleh Azure Stack HCI, dan karenanya tidak disarankan untuk menjalankan AKS di Azure Stack HCI dan Windows Server. Untuk informasi selengkapnya tentang konfigurasi drive yang direkomendasikan, lihat dokumentasi Azure Stack HCI. Semua sistem yang divalidasi dalam katalog Azure Stack HCI termasuk dalam salah satu dari dua konfigurasi penyimpanan yang didukung ini.

Kubernetes menggunakan etcd untuk menyimpan status kluster. Etcd menyimpan konfigurasi, spesifikasi, serta status pod yang sedang berjalan. Selain itu, Kubernetes menggunakan penyimpanan untuk penemuan layanan. Sebagai komponen koordinasi guna pengoperasian Kubernetes dan beban kerja yang didukungnya, latensi, dan throughput ke etcd sangat penting. Anda harus menjalankan AKS pada sebuah SSD. Untuk informasi selengkapnya, lihat Performa di etcd.io.

Untuk kluster berbasis Pusat Data Windows Server, Anda dapat menyebarkannya dengan penyimpanan lokal atau penyimpanan berbasis SAN. Untuk penyimpanan lokal, disarankan agar Anda menggunakan Storage Spaces Direct bawaan, atau solusi SAN virtual bersertifikat yang setara untuk membuat infrastruktur hyperconverged yang menyajikan Volume Bersama Kluster untuk digunakan oleh beban kerja. Untuk Storage Spaces Direct, penyimpanan Anda harus hibrida (flash + HDD) yang menyeimbangkan performa dan kapasitas, atau all-flash (SSD, NVMe) yang memaksimalkan performa. Jika Anda memilih untuk melakukan penyebaran dengan penyimpanan berbasis SAN, pastikan penyimpanan SAN Anda dapat memberikan performa yang cukup untuk menjalankan beberapa beban kerja mesin virtual. Penyimpanan SAN berbasis HDD yang lebih lama mungkin tidak memberikan tingkat performa yang diperlukan untuk menjalankan beberapa beban kerja komputer virtual, dan Anda mungkin melihat masalah performa dan batas waktu.

Untuk penyebaran server Windows simpul tunggal menggunakan penyimpanan lokal, penggunaan penyimpanan all-flash (SSD, NVMe) sangat disarankan untuk memberikan kinerja yang diperlukan untuk menghosting beberapa mesin virtual pada satu host fisik. Tanpa penyimpanan flash, tingkat performa yang lebih rendah pada HDD dapat menyebabkan masalah penyebaran dan batas waktu.

Persyaratan jaringan

Persyaratan berikut berlaku untuk kluster Azure Stack HCI 22H2 dan kluster Pusat Data Windows Server. Untuk persyaratan jaringan di Azure Stack HCI 23H2, lihat Persyaratan jaringan.

• Untuk Azure Stack HCI 22H2 dan Windows Server, verifikasi bahwa Anda memiliki sakelar virtual eksternal yang sudah ada yang dikonfigurasi jika Anda menggunakan Windows Admin Center. Untuk kluster HCI atau Windows Server, sakelar ini dan namanya harus sama di semua node kluster. Untuk HCI 23H2, lihat persyaratan sistem jaringan.
• Pastikan Anda telah menonaktifkan IPv6 di semua adaptor jaringan.
• Demi keberhasilan penyebaran, node kluster Azure Stack HCI atau Windows Server dan VM kluster Kubernetes harus memiliki konektivitas internet eksternal.
• Pastikan semua subnet yang Anda tentukan untuk kluster dapat dirutekan antara satu sama lain dan ke internet.
• Pastikan terdapat konektivitas jaringan antara host Azure Stack HCI dan VM penyewa.
• Resolusi nama DNS diperlukan agar semua node dapat berkomunikasi satu sama lain.
• (Disarankan) Aktifkan pembaruan DNS dinamis di lingkungan DNS Anda untuk memungkinkan AKS mendaftarkan nama kluster generik agen cloud di sistem DNS untuk penemuan.

Penetapan alamat IP

Dalam AKS yang diaktifkan oleh Arc, jaringan virtual digunakan untuk mengalokasikan alamat IP ke sumber daya Kubernetes yang memerlukannya, seperti yang tercantum sebelumnya. Ada dua model jaringan yang dapat dipilih, tergantung pada arsitektur jaringan AKS yang Anda inginkan.

Catatan

Arsitektur jaringan virtual yang ditentukan di sini untuk penyebaran AKS Anda berbeda dari arsitektur jaringan fisik yang mendasar di pusat data Anda.

• Jaringan IP statis: Jaringan virtual mengalokasikan alamat IP statis ke server API kluster Kubernetes, simpul Kubernetes, VM yang mendasari, load balancer, dan layanan Kubernetes apa pun yang Anda jalankan di atas kluster Anda.
• Jaringan DHCP: Jaringan virtual mengalokasikan alamat IP dinamis ke simpul Kubernetes, VM yang mendasar dan load balancer menggunakan server DHCP. Alamat IP statik masih dialokasikan pada server API kluster Kubernetes dan layanan Kubernetes apa pun yang Anda jalankan pada kluster Anda.

Reservasi alamat IP minimum

Minimal, Anda harus memesan jumlah alamat IP berikut untuk penyebaran Anda:

Jenis kluster	Node sarana kontrol	Simpul pekerja	Untuk operasi perbarui	Load balancer
Host AKS	1 IP	NA	2 IP	NA
kluster beban kerja	1 IP per node	1 IP per node	5 IP	1 IP

Selain itu, Anda harus memesan nomor alamat IP berikut untuk kumpulan VIP Anda:

Jenis Sumber Daya	Jumlah alamat IP
Server API kluster	1 per kluster
Layanan Kubernetes	1 per layanan

Seperti yang Anda lihat, jumlah alamat IP yang diperlukan bervariasi tergantung pada arsitektur AKS dan jumlah layanan yang Anda jalankan di kluster Kubernetes Anda. Sebaiknya lakukan reservasi total 256 alamat IP (/24 subnet) untuk penyebaran Anda.

Untuk informasi selengkapnya tentang persyaratan jaringan, lihat konsep jaringan simpul di AKS dan konsep jaringan kontainer di AKS.

Persyaratan port dan URL jaringan

AKS diaktifkan oleh persyaratan Arc

Saat membuat kluster Kubernetes di Azure Stack HCI, port firewall berikut secara otomatis dibuka pada setiap server di kluster.

Jika node kluster fisik Azure Stack HCI dan VM kluster Azure Kubernetes berada di dua vlan terisolasi, port ini harus dibuka di firewall di antara mereka:

Port	Sumber	Deskripsi	Catatan Firewall
22	VM AKS	Diperlukan untuk mengumpulkan log saat menggunakan Get-AksHciLogs.	Jika menggunakan VLAN terpisah, Host Hyper-V fisik harus mengakses VM AKS pada port ini.
6443	VM AKS	Diperlukan untuk berkomunikasi dengan API Kubernetes.	Jika menggunakan VLAN terpisah, Host Hyper-V fisik harus mengakses VM AKS pada port ini.
45000	Host Hyper-V fisik	server wssdAgent gRPC.	Tidak memerlukan aturan lintas VLAN.
45001	Host Hyper-V fisik	autentikasi wssdAgent gRPC.	Tidak memerlukan aturan lintas VLAN.
46000	VM AKS	wssdCloudAgent ke lbagent.	Jika menggunakan VLAN terpisah, Host Hyper-V fisik harus mengakses VM AKS pada port ini.
55000	Sumber daya kluster (-CloudServiceCIDR)	Server gRPC Agen Cloud.	Jika menggunakan VLAN terpisah, VM AKS harus mengakses IP sumber daya kluster pada port ini.
65000	Sumber daya kluster (-CloudServiceCIDR)	Autentikasi gRPC Agen Cloud.	Jika menggunakan VLAN terpisah, VM AKS harus mengakses IP sumber daya kluster pada port ini.

Jika jaringan Anda memerlukan penggunaan server proksi untuk terhubung ke internet, lihat Menggunakan pengaturan server proksi di AKS.

Tabel

URL berikut harus ditambahkan ke daftar izin Anda:

URL	Port	Catatan
msk8s.api.cdp.microsoft.com	443	Digunakan saat mengunduh katalog produk AKS di Azure Stack HCI, bit produk, dan citra OS dari SFS. Terjadi saat berjalan Set-AksHciConfig dan kapan saja Anda mengunduh dari SFS.
msk8s.f.tlu.dl.delivery.mp.microsoft.com msk8s.b.tlu.dl.delivery.mp.microsoft.com	80	Digunakan saat mengunduh katalog produk AKS di Azure Stack HCI, bit produk, dan citra OS dari SFS. Terjadi saat berjalan Set-AksHciConfig dan kapan saja Anda mengunduh dari SFS.
login.microsoftonline.com login.windows.net graph.windows.net msft.sts.microsoft.com management.azure.com	443	Digunakan untuk masuk ke Azure saat menjalankan Set-AksHciRegistration.
ecpacr.azurecr.io mcr.microsoft.com *.mcr.microsoft.com *.data.mcr.microsoft.com *.blob.core.windows.net titik akhir AS: wus2replica*.blob.core.windows.net	443	Diperlukan untuk menarik citra kontainer saat menjalankan Install-AksHci.
<region.dp.kubernetesconfiguration.azure.com>	443	Diperlukan untuk onboarding kluster hibrid AKS ke Azure Arc.
gbl.his.arc.azure.com	443	Diperlukan untuk mendapatkan titik akhir regional guna menarik sertifikat Identitas Layanan Terkelola yang ditetapkan sistem.
*.his.arc.azure.com	443	Diperlukan untuk penarikan sertifikat Identitas Terkelola yang ditetapkan sistem.
k8connecthelm.azureedge.net	443	Kubernetes dengan dukungan Arc menggunakan Helm 3 untuk menyebarkan agen Azure Arc pada kluster manajemen AKS-HCI. Titik akhir ini diperlukan untuk unduhan klien Helm untuk memfasilitasi penyebaran bagan helm agen.
*.arc.azure.net	443	Diperlukan untuk mengelola kluster hibrid AKS di portal Azure.
dl.k8s.io	443	Diperlukan untuk mengunduh dan memperbarui biner Kubernetes untuk Azure Arc.
akshci.azurefd.net	443	Diperlukan untuk tagihan AKS di Azure Stack HCI saat menjalankan Install-AksHci.
gcs.prod.monitoring.core.windows.net v20.events.data.microsoft.com	443	Digunakan secara berkala untuk mengirim data diagnostik yang diperlukan Microsoft dari host Azure Stack HCI atau Windows Server.

Json

Anda dapat memotong dan menempelkan daftar izin untuk pengecualian URL firewall:

[{
    "URL": "msk8s.api.cdp.microsoft.com",
    "Port": "443 ",
    "Notes": "Used when downloading the AKS on Azure Stack HCI product catalog, product bits, and OS images from SFS.Occurs when running `Set-AksHciConfig` and at any time you download from SFS."
}, {
    "URL": "msk8s.b.tlu.dl.delivery.mp.microsoft.com",
    "Port": "80",
    "Notes": "Used when downloading the AKS on Azure Stack HCI product catalog, product bits, and OS images from SFS. Occurs when running `Set-AksHciConfig` and at any time you download from SFS."
}, {
    "URL": "msk8s.f.tlu.dl.delivery.mp.microsoft.com",
    "Port": "80",
    "Notes": "Used when downloading the AKS on Azure Stack HCI product catalog, product bits, and OS images from SFS. Occurs when running `Set-AksHciConfig` and at any time you download from SFS."
}, {
    "URL": "login.microsoftonline.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "login.windows.net",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "management.azure.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "www.microsoft.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "msft.sts.microsoft.com",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "graph.windows.net",
    "Port": "443",
    "Notes": "Used for logging into Azure when running `Set-AksHciRegistration`."
}, {
    "URL": "ecpacr.azurecr.io",
    "Port": "443",
    "Notes": "Required to pull container images when running `Install-AksHci`."
}, {
    "URL": "*.blob.core.windows.net  US endpoint: wus2replica*.blob.core.windows.net",
    "Port": "443",
    "Notes": "Required to pull container images when running `Install-AksHci`."
}, {
    "URL": "mcr.microsoft.com, *.mcr.microsoft.com",
    "Port": "443",
    "Notes": "Required to pull container images when running `Install-AksHci`."
}, {
    "URL": "akshci.azurefd.net",
    "Port": "443",
    "Notes": "Required for AKS on Azure Stack HCI billing when running `Install-AksHci`."
}, {
    "URL": "v20.events.data.microsoft.com",
    "Port": "443",
    "Notes": "Used periodically to send Microsoft required diagnostic data from the Azure Stack HCI or Windows Server host."
}, {
    "URL": "gcs.prod.monitoring.core.windows.net",
    "Port": "443",
    "Notes": "Used periodically to send Microsoft required diagnostic data from control plane nodes."
}]

Unduh DAFTAR IZIN URL (json).

Catatan

AKS yang diaktifkan oleh Arc menyimpan dan memproses data pelanggan. Secara default, data pelanggan tetap berada di wilayah tempat pelanggan menyebarkan instans layanan. Data ini disimpan dalam pusat data regional yang dioperasikan Microsoft. Untuk wilayah dengan persyaratan residensi data, data pelanggan selalu disimpan dalam wilayah yang sama.

Persyaratan URL tambahan untuk fitur Azure Arc

Daftar URL sebelumnya mencakup URL minimum yang diperlukan bagi Anda untuk menyambungkan layanan AKS Anda ke Azure untuk penagihan. Anda harus mengizinkan URL tambahan jika ingin menggunakan koneksi kluster, lokasi kustom, Azure RBAC, dan layanan Azure lainnya seperti Azure Monitor, dll., pada kluster beban kerja AKS Anda. Untuk daftar lengkap URL Arc, lihat Persyaratan jaringan Kubernetes dengan dukungan Azure Arc.

Anda juga harus meninjau URL Azure Stack HCI. Karena Arc untuk agen server sekarang diinstal secara default pada simpul Azure Stack HCI dari Azure Stack HCI 21H2 ke atas, Anda juga harus meninjau Arc untuk URL agen server.

Kluster yang direntangkan di AKS

Seperti yang diuraikan dalam gambaran umum kluster Yang direntangkan, menyebarkan AKS di Azure Stack HCI dan Windows Server menggunakan kluster yang direntangkan Windows tidak didukung. Kami menyarankan agar Anda menggunakan pendekatan pencadangan dan pemulihan bencana untuk kelangsungan operasional pusat data Anda. Untuk informasi selengkapnya, lihat Melakukan pencadangan atau pemulihan kluster beban kerja menggunakan penyimpanan Velero dan Azure Blob di Azure Stack HCI dan Windows Server, dan Menyebarkan konfigurasi pada AksHci menggunakan GitOps dengan Flux v2 untuk kelangsungan aplikasi.

Persyaratan Pusat Admin Windows

Windows Admin Center adalah antarmuka pengguna untuk membuat dan mengelola AKS yang diaktifkan oleh Azure Arc. Untuk menggunakan Windows Admin Center dengan AKS di Azure Stack HCI dan Windows Server, Anda harus memenuhi semua kriteria dalam daftar berikut.

Ini adalah persyaratan untuk mesin yang menjalankan gateway Windows Admin Center:

• Windows 10 atau Windows Server.
• Terdaftar di Azure.
• Di domain yang sama dengan kluster Azure Stack HCI atau Windows Server Datacenter.
• Langganan Azure di mana Anda memiliki hak Pemilik. Anda dapat memeriksa tingkat akses Anda dengan menavigasi ke langganan Anda dan memilih Kontrol akses (IAM) di sisi kiri portal Azure lalu memilih Tampilkan akses saya.

Persyaratan Azure

Anda harus menyambungkan ke akun Azure Anda.

Akun dan langganan Azure

Jika Anda belum memiliki akun Azure, buat akun. Anda dapat menggunakan berbagai jenis langganan saat ini:

• Akun gratis dengan kredit Azure untuk siswa atau pelanggan Visual Studio.
• Langganan Pay-as-you-go dengan kartu kredit.
• Langganan diperoleh melalui Perjanjian Enterprise (EA).
• Langganan diperoleh melalui program Penyedia Solusi Cloud (CSP).

Microsoft Entra izin, peran, dan tingkat akses

Anda harus memiliki izin yang memadai untuk mendaftarkan aplikasi dengan penyewa Microsoft Entra Anda.

Untuk memeriksa apakah Anda memiliki izin yang memadai, ikuti informasi di bawah ini:

• Buka portal Azure dan pilih Peran dan administrator di bawah Microsoft Entra ID untuk memeriksa peran Anda.
• Jika Anda memiliki peran Pengguna, Anda harus memastikan non-administrator dapat mendaftarkan aplikasi.
• Untuk memeriksa apakah Anda dapat mendaftarkan aplikasi, buka Pengaturan pengguna di bawah layanan Microsoft Entra untuk memeriksa apakah Anda memiliki izin untuk mendaftarkan aplikasi.

Jika pengaturan pendaftaran aplikasi diatur ke Tidak, hanya pengguna dengan peran administrator yang dapat mendaftarkan jenis aplikasi ini. Untuk mempelajari tentang peran administrator yang tersedia dan izin khusus dalam Microsoft Entra ID yang diberikan untuk setiap peran, lihat Microsoft Entra peran bawaan. Jika peran Pengguna ditetapkan untuk akun Anda, tetapi pengaturan pendaftaran aplikasi terbatas pada pengguna admin, minta administrator Anda untuk menetapkan salah satu peran administrator yang dapat membuat dan mengelola semua aspek pendaftaran aplikasi, atau untuk memungkinkan pengguna mendaftarkan aplikasi.

Jika Anda tidak memiliki cukup izin untuk mendaftarkan aplikasi dan admin tidak dapat memberi Anda izin ini, cara termampu untuk menyebarkan AKS adalah dengan meminta admin Azure Anda untuk membuat perwakilan layanan dengan izin yang tepat. Admin dapat memeriksa bagian berikut untuk mempelajari cara membuat perwakilan layanan.

Peran langganan dan tingkat akses Azure

Untuk memeriksa tingkat akses, buka langganan Anda, klik Kontrol akses (IAM) di sisi kiri portal Azure, kemudian klik Lihat akses saya.

• Jika Anda menggunakan Windows Admin Center untuk menyebarkan host AKS atau kluster beban kerja AKS, Anda harus memiliki langganan Azure tempat Anda menjadi Pemilik.
• Jika Anda menggunakan PowerShell untuk menyebarkan host AKS atau kluster beban kerja AKS, pengguna yang mendaftarkan kluster harus memiliki setidaknya salah satu hal berikut ini:
  • Akun pengguna dengan peran Pemilik bawaan.
  • Perwakilan layanan dengan salah satu tingkat akses berikut:
    • Peran Kontributor bawaan.
    • Peran Pemilik bawaan.

Jika langganan Azure Anda melalui EA atau CSP, cara termampu untuk menyebarkan AKS adalah dengan meminta admin Azure Anda untuk membuat perwakilan layanan dengan izin yang tepat. Admin dapat memeriksa bagian berikut tentang cara membuat perwakilan layanan.

Opsional: buat perwakilan layanan baru

Jalankan langkah-langkah berikut untuk membuat perwakilan layanan baru dengan peran Pemilik bawaan. Hanya pemilik langganan yang dapat membuat perwakilan layanan menggunakan penetapan peran yang tepat. Anda dapat memeriksa tingkat akses dengan menavigasi ke langganan Anda, memilih Kontrol akses (IAM) di sisi kiri portal Azure, lalu memilih Tampilkan akses saya.

Atur variabel PowerShell berikut ini di jendela admin PowerShell. Verifikasi bahwa langganan dan penyewa adalah apa yang ingin Anda gunakan untuk mendaftarkan host AKS Anda untuk penagihan:

$subscriptionID = "<Your Azure subscrption ID>"
$tenantID = "<Your Azure tenant ID>"

Instal dan impor modul AKS PowerShell:

Install-Module -Name AksHci

Masuk pada Azure menggunakan perintah PowerShell Connect-AzAccount:

Connect-AzAccount -tenant $tenantID

Atur langganan yang ingin Anda gunakan untuk mendaftarkan host AKS Anda untuk penagihan sebagai langganan default dengan menjalankan perintah Set-AzContext :

Set-AzContext -Subscription $subscriptionID

Verifikasi bahwa konteks masuk Anda sudah benar dengan menjalankan perintah PowerShell Get-AzContext. Verifikasi bahwa langganan, penyewa, dan akun adalah apa yang ingin Anda gunakan untuk mendaftarkan host AKS Anda untuk penagihan:

Get-AzContext

Name                                     Account                      SubscriptionName             Environment                  TenantId
----                                     -------                      ----------------             -----------                  --------
myAzureSubscription (92391anf-...        user@contoso.com             myAzureSubscription          AzureCloud                   xxxxxx-xxxx-xxxx-xxxxxx

Buat prinsip layanan dengan menjalankan perintah PowerShell New-AzADServicePrincipal. Perintah ini membuat perwakilan layanan dengan peran Pemilik dan mengatur cakupan pada tingkat langganan. Untuk informasi selengkapnya tentang membuat perwakilan layanan, lihat membuat perwakilan layanan Azure dengan Azure PowerShell.

$sp = New-AzADServicePrincipal -role "Owner" -scope /subscriptions/$subscriptionID

Ambil kata sandi untuk perwakilan layanan dengan menjalankan perintah berikut. Perhatikan bahwa perintah ini hanya berfungsi untuk Az.Accounts 2.6.0 atau di bawahnya. Kami secara otomatis mengunduh modul Az.Accounts 2.6.0 saat Anda menginstal modul AksHci PowerShell:

$secret = $sp.PasswordCredentials[0].SecretText
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"

Dari output sebelumnya, Anda sekarang memiliki ID aplikasi dan rahasia yang tersedia saat menyebarkan AKS. Anda harus mencatat item ini dan menyimpannya dengan aman. Dengan yang dibuat, di portal Azure, di bawah Langganan, Access Control, lalu Penetapan Peran, Anda akan melihat perwakilan layanan baru Anda.

Grup sumber daya Azure

Anda harus memiliki grup sumber daya Azure di wilayah Azure Australia Timur, AS Timur, Asia Tenggara, atau Eropa Barat sebelum pendaftaran.

Wilayah Azure

Peringatan

AKS Arc saat ini mendukung pembuatan kluster secara eksklusif dalam wilayah Azure yang ditentukan berikut. Jika Anda mencoba menyebarkan di wilayah di luar daftar ini, kegagalan penyebaran terjadi.

Layanan AKS Arc digunakan untuk pendaftaran, penagihan, dan manajemen. Saat ini didukung di wilayah berikut:

• AS Timur
• AS Tengah Bagian Selatan
• Eropa Barat

Persyaratan Active Directory

Agar kluster failover AKS dengan 2 simpul fisik atau lebih berfungsi optimal di lingkungan Direktori Aktif, pastikan persyaratan berikut terpenuhi:

Catatan

Direktori Aktif tidak diperlukan untuk penyebaran Simpul tunggal Azure Stack HCI atau Windows Server.

• Siapkan sinkronisasi waktu sehingga divergensi tidak lebih dari 2 menit di semua simpul kluster dan pengontrol domain. Untuk informasi tentang pengaturan sinkronisasi waktu, lihat Layanan waktu Windows.
• Pastikan akun pengguna yang digunakan untuk menambahkan pembaruan, dan mengelola kluster AKS atau Pusat Data Windows Server memiliki izin yang benar di Direktori Aktif. Jika Anda menggunakan Unit Organisasi (OU) untuk mengelola kebijakan grup untuk server dan layanan, akun pengguna memerlukan izin daftar, baca, ubah, dan hapus pada semua objek di unit organisasi.
• Gunakan unit organisasi (OU) terpisah untuk server dan layanan oleh kluster AKS atau Pusat Data Windows Server Anda. Menggunakan OU terpisah memungkinkan Anda mengontrol akses dan izin dengan lebih banyak granularitas.
• Jika Anda menggunakan templat GPO pada kontainer di Active Directory, pastikan penyebaran AKS di Azure Stack HCI dan Windows Server dikecualikan dari kebijakan.

Langkah berikutnya

Setelah Anda memenuhi semua prasyarat di atas, Anda dapat menyiapkan host AKS pada Azure Stack HCI menggunakan:

• Pusat Admin Windows
• PowerShell