Systeemvereisten voor Azure Kubernetes Service op Azure Stack HCI
Van toepassing op: Azure Stack HCI, versies 21H2 en 20H2; Windows Server 2022 Datacenter, Windows Server 2019 Datacenter
In dit artikel worden de vereisten beschreven voor het instellen van Azure Kubernetes Service op Azure Stack HCI of op Windows Server 2019 Datacenter en het gebruiken ervan om Kubernetes-clusters te maken. Zie AKS op Azure Kubernetes Service op Azure Stack HCI overzicht voor een overzicht van Azure Stack HCI.
Hardwarevereisten bepalen
Microsoft raadt aan om een gevalideerde Azure Stack HCI hardware/software-oplossing van onze partners aan te kopen. Deze oplossingen worden ontworpen, samengesteld en gevalideerd op basis van onze referentiearchitectuur om compatibiliteit en betrouwbaarheid te garanderen, zodat u snel aan de werk kunt. Controleer of de systemen, onderdelen, apparaten en stuurprogramma's die u gebruikt Windows Server 2019 gecertificeerd zijn volgens de Windows Server Catalog. Ga naar Azure Stack HCI-oplossingenwebsite voor gevalideerde oplossingen.
Algemene vereisten
Zorg Azure Kubernetes Service op Azure Stack HCI of Windows Server 2019 Datacenter optimaal werkt in een Active Directory-omgeving dat aan de volgende vereisten wordt voldaan:
Zorg ervoor dat tijdsynchronisatie is ingesteld en dat de verschillen niet groter zijn dan 2 minuten voor alle clusterknooppunten en de domeincontroller. Zie Time Service voor meer informatie over het instellen van tijdsynchronisatie Windows Time Service.
Zorg ervoor dat de gebruikersaccounts die updates toevoegen en Azure Kubernetes Service op Azure Stack HCI of Windows Server 2019 Datacenter-clusters de juiste machtigingen hebben in Active Directory. Als u organisatie-eenheden (OE's) gebruikt voor het beheren van groepsbeleid voor servers en services, zijn voor de gebruikersaccounts lijst-, lees-, wijzigings- en verwijdermachtigingen vereist voor alle objecten in de organisatie-eenheid.
U wordt aangeraden een afzonderlijke OE te gebruiken voor de servers en services waaraan u uw Azure Kubernetes Service op Azure Stack HCI of Windows Server 2019 Datacenter-clusters toevoegt. Met behulp van een afzonderlijke OE kunt u toegang en machtigingen met meer granulariteit controleren.
Als u GPO-sjablonen gebruikt voor containers in Active Directory, moet u ervoor zorgen dat het implementeren van AKS op Azure Stack HCI van het beleid is uitgesloten. Serverharding is beschikbaar in een volgende release.
Azure-vereisten
Azure-account en -abonnement
Als u nog geen Azure-account hebt, maakt u er een. U kunt een bestaand abonnement van elk type gebruiken:
- Gratis account met Azure-tegoed voor studentenVisual Studio abonnees
- Betalen per gebruikt-abonnement met creditcard
- Abonnement verkregen via een Enterprise Agreement (EA)
- Abonnement verkregen via het Cloud Solution Provider (CSP)-programma
Azure AD-machtigingen, rol- en toegangsniveau
U moet voldoende machtigingen hebben om een toepassing te registreren bij uw Azure AD-tenant.
Als u wilt controleren of u voldoende machtigingen hebt, volgt u de onderstaande informatie:
- Ga naar de Azure Portal klik op Rollen en beheerders onder Azure Active Directory om uw rol te controleren.
- Als uw rol Gebruikeris, moet u ervoor zorgen dat niet-beheerders toepassingen kunnen registreren.
- Als u wilt controleren of u toepassingen kunt registreren, gaat u naar Gebruikersinstellingen onder de Azure Active Directory-service om te controleren of u toestemming hebt om een toepassing te registreren.
Als de instelling voor app-registraties is ingesteld op Nee,kunnen alleen gebruikers met een beheerdersrol deze typen toepassingen registreren. Zie Ingebouwde Azure AD-rollenvoor meer informatie over de beschikbare beheerdersrollen en de specifieke machtigingen in Azure AD die aan elke rol zijn verleend. Als aan uw account de rol Gebruiker is toegewezen, maar de app-registratie-instelling is beperkt tot gebruikers met beheerdersrechten, vraagt u de beheerder om u een van de beheerdersrollen toe te wijzen waarmee alle aspecten van app-registraties kunnen worden gemaakt en beheert, of om gebruikers in staat te stellen apps te registreren.
Als u onvoldoende machtigingen hebt om een toepassing te registreren en uw beheerder u deze machtigingen niet kan geven, is de eenvoudigste manier om AKS op Azure Stack HCI te implementeren, uw Azure-beheerder vragen om een service-principal met de juiste machtigingen te maken. Beheerders kunnen de volgende sectie controleren voor meer informatie over het maken van een service-principal.
Rol en toegangsniveau van Azure-abonnement
Als u uw toegangsniveau wilt controleren, gaat u naar uw abonnement, klikt u op Toegangsbeheer (IAM) aan de linkerkant van de Azure Portal en klikt u vervolgens op Mijn toegang weergeven.
- Als u het Windows-beheercentrum gebruikt om een AKS-host of een AKS-workloadcluster te implementeren, moet u een Azure-abonnement hebben waarvan u eigenaar bent.
- Als u PowerShell gebruikt om een AKS-host of een AKS-workloadcluster te implementeren, moet de gebruiker die het cluster registreert ten minste een van de volgende opties hebben:
- Een gebruikersaccount met de ingebouwde rol Eigenaar.
- Een service-principal met een van de volgende toegangsniveaus:
- De ingebouwde Kubernetes-cluster - Azure Arc Onboarding-rol
- De ingebouwde rol Inzender
- De ingebouwde rol Eigenaar
Als uw Azure-abonnement via een EA of CSP is, is de eenvoudigste manier om AKS op Azure Stack HCI te implementeren, uw Azure-beheerder vragen om een service-principal met de juiste machtigingen te maken. Beheerders kunnen de onderstaande sectie bekijken over het maken van een service-principal.
Optioneel: Een nieuwe service-principal maken
Voer de volgende stappen uit om een nieuwe service-principal te maken met de ingebouwde verbonden Microsoft.Kubernetes-clusterrol. Houd er rekening mee dat alleen abonnementseigenaren service-principals kunnen maken met de juiste roltoewijzing. U kunt uw toegangsniveau controleren door naar uw abonnement te gaan, te klikken op Toegangsbeheer (IAM) aan de linkerkant van de Azure Portal en vervolgens te klikken op Mijn toegang weergeven.
Installeer en importeer de volgende Azure PowerShell modules:
Install-Module -Name Az.Accounts -Repository PSGallery -RequiredVersion 2.2.4
Import-Module Az.Accounts
Install-Module -Name Az.Resources -Repository PSGallery -RequiredVersion 3.2.0
Import-Module Az.Resources
Install-Module -Name AzureAD -Repository PSGallery -RequiredVersion 2.0.2.128
Import-Module AzureAD
Sluit alle PowerShell-vensters en open een nieuwe beheersessie opnieuw.
Meld u aan bij Azure met Verbinding maken PowerShell-opdracht -AzAccount:
Connect-AzAccount
Stel het abonnement dat u wilt gebruiken voor het registreren van uw AKS-host voor facturering in als het standaardabonnement door de opdracht Set-AzContext uit te voeren.
Set-AzContext -Subscription myAzureSubscription
Controleer of uw aanmeldingscontext juist is door de PowerShell-opdracht Get-AzContext uit te voeren. Controleer of het abonnement, de tenant en het account zijn wat u wilt gebruiken om uw AKS-host te registreren voor facturering.
Get-AzContext
Name Account SubscriptionName Environment TenantId
---- ------- ---------------- ----------- --------
myAzureSubscription (92391anf-... user@contoso.com myAzureSubscription AzureCloud xxxxxx-xxxx-xxxx-xxxxxx
Maak een service-principal door de PowerShell-opdracht New-AzADServicePrincipal uit te voeren. Met deze opdracht maakt u een service-principal met de rol Verbonden cluster Microsoft.Kubernetes en stelt u het bereik in op abonnementsniveau. Ga voor meer informatie over het maken van service-principals naar Een Azure-service-principal maken met Azure PowerShell.
$sp = New-AzADServicePrincipal -role "Microsoft.Kubernetes connected cluster"
Haal het wachtwoord voor de service-principal op door de volgende opdracht uit te voeren:
$secret = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret))
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"
In de bovenstaande uitvoer ziet u nu de toepassings-id en het geheim die beschikbaar zijn bij het implementeren van AKS op Azure Stack HCI. U moet deze items noteren en veilig opslaan. Nu dat is gemaakt, ziet u in Azure Portal, onder Abonnementen ,Access Controlen vervolgens Roltoewijzingen uwnieuwe service-principal.
Azure-resourcegroep
U moet een Azure-resourcegroep hebben in VS - oost, Azië - zuidoost of Europa - west Azure-regio beschikbaar zijn vóór de registratie.
Compute-vereisten
Voor testomgevingen: een Azure Stack HCI-cluster of een Windows Server 2019 Datacenter-failovercluster met maximaal vier servers in het cluster. Het is raadzaam dat elke server in het cluster ten minste 8 (aanbevolen 16) CPU-kernen en ten minste 256 GB RAM-geheugen heeft.
Voor productieomgevingen: een Azure Stack HCI-cluster of een Windows Server 2019 Datacenter-failovercluster met maximaal vier servers in het cluster. Het is raadzaam dat elke server in het cluster ten minste 16 (aanbevolen 32) CPU-kernen en ten minste 256 GB RAM-geheugen heeft. De uiteindelijke grootten zijn afhankelijk van de toepassing en het aantal werkknooppunten dat u wilt implementeren op Azure Stack HCI cluster.
Hoewel u technisch gezien een Azure Kubernetes Service kunt uitvoeren op één knooppunt Windows Server 2019 Datacenter, raden we u dit niet aan. Voor evaluatiedoeleinden kunt Azure Kubernetes Service echter uitvoeren op één knooppunt Windows Server 2019 Datacenter.
Andere rekenvereisten voor Azure Kubernetes Service op Azure Stack HCI zijn in overeenstemming met Azure Stack HCI van de klant. Ga Azure Stack HCI systeemvereisten voor meer informatie over Azure Stack HCI serververeisten.
U moet het besturingssysteem Azure Stack HCI elke server in het cluster installeren met behulp van de regio- en taalselecties EN-US. Op dit moment kunt u deze instellingen na de installatie niet wijzigen.
Algemene netwerkvereisten
De volgende vereisten zijn van toepassing op een Azure Stack HCI cluster en een Windows Server 2019 Datacenter-cluster:
Controleer of u een bestaande, externe virtuele switch hebt geconfigureerd als u het beheercentrum Windows gebruikt. Voor Azure Stack HCI clusters moeten deze switch en de naam hetzelfde zijn voor alle clusterknooppunten.
Controleer of u IPv6 hebt uitgeschakeld op alle netwerkadapters.
Voor een geslaagde implementatie moeten de Azure Stack HCI clusterknooppunten en de Kubernetes-cluster-VM's externe internetverbinding hebben.
Zorg ervoor dat alle subnetten die u voor het cluster definieert, routeerbaar zijn tussen elkaar en naar internet.
Zorg ervoor dat er een netwerkverbinding is tussen Azure Stack HCI hosts en de tenant-VM's.
DNS-naamresolutie is vereist om alle knooppunten met elkaar te laten communiceren.
(Aanbevolen) Schakel dynamische DNS-updates in uw DNS-omgeving in, zodat AKS op Azure Stack HCI de algemene clusternaam van de cloudagent kan registreren in het DNS-systeem voor detectie. Als dynamische DNS geen optie is, gebruikt u de stappen die zijn voorgeschreven in Set-AksHciConfig.
IP-adrestoewijzing
In AKS op Azure Stack HCI worden virtuele netwerken gebruikt om IP-adressen toe te wijzen aan de Kubernetes-resources waarvoor deze nodig zijn, zoals hierboven wordt vermeld. Er zijn twee netwerkmodellen waaruit u kunt kiezen, afhankelijk van uw gewenste AKS op Azure Stack HCI netwerkarchitectuur.
Notitie
De architectuur voor virtuele netwerken die hier wordt gedefinieerd voor uw AKS Azure Stack HCI implementaties wijkt af van de onderliggende fysieke netwerkarchitectuur in uw datacenter.
Statisch IP-netwerk: het virtuele netwerk wijst statische IP-adressen toe aan de API-server van het Kubernetes-cluster, Kubernetes-knooppunten, onderliggende VM's, load balancers en eventuele Kubernetes-services die u op uw cluster uitvoeren.
DHCP-netwerken: het virtuele netwerk wijst dynamische IP-adressen toe aan de Kubernetes-knooppunten, onderliggende VM's en load balancers met behulp van een DHCP-server. Aan de API-server van het Kubernetes-cluster en alle Kubernetes-services die u op uw cluster hebt uitgevoerd, worden nog steeds statische IP-adressen toegewezen.
Minimale IP-adresreservering
Reserveer ten minste het volgende aantal IP-adressen voor uw implementatie:
| Clustertype | Besturingsvlak-knooppunt | Werk knooppunt | Voor updatebewerkingen | Load balancer |
|---|---|---|---|---|
| AKS-host | 1 IP | NA | 2 IP | NA |
| Workloadcluster | 1 IP-adres per knooppunt | 1 IP-adres per knooppunt | 5 IP | 1 IP |
Daarnaast moet u het volgende aantal IP-adressen reserveren voor uw VIP-groep:
| Resourcetype | Aantal IP-adressen |
|---|---|
| Cluster-API-server | 1 per cluster |
| Kubernetes Services | 1 per service |
Zoals u ziet, is het aantal vereiste IP-adressen variabel, afhankelijk van de AKS op Azure Stack HCI-architectuur en het aantal services dat u op uw Kubernetes-cluster kunt uitvoeren. We raden u aan in totaal 256 IP-adressen (/24 subnet) te reserveren voor uw implementatie.
Ga voor meer informatie over netwerkvereisten naar Knooppuntnetwerkconcepten in AKS op Azure Stack HCI en containernetwerkconcepten in AKS op Azure Stack HCI.
Vereisten voor netwerkpoorten en URL's
Wanneer u een Azure Kubernetes-cluster maakt op Azure Stack HCI, worden de volgende firewallpoorten automatisch geopend op elke server in het cluster.
| Firewallpoort | Description |
|---|---|
| 45000 | wssdagent GPRC-serverpoort |
| 45001 | wssdagent GPRC-verificatiepoort |
| 55000 | wssdcloudagent GPRC-serverpoort |
| 65000 | wssdcloudagent GPRC-verificatiepoort |
Firewall-URL-uitzonderingen zijn nodig voor de Windows van het beheercentrum en alle knooppunten in Azure Stack HCI cluster.
| URL | Poort | Notities |
|---|---|---|
| msk8s.api.cdp.microsoft.com | 443 | Wordt gebruikt bij het downloaden van de AKS Azure Stack HCI productcatalogus, productbits en os-afbeeldingen van SFS. Treedt op bij Set-AksHciConfig het uitvoeren en op elk moment dat u downloadt van SFS. |
| msk8s.b.tlu.dl.delivery.mp.microsoft.com | 80 | Wordt gebruikt bij het downloaden van de AKS Azure Stack HCI productcatalogus, productbits en os-afbeeldingen van SFS. Treedt op bij Set-AksHciConfig het uitvoeren en op elk moment dat u downloadt van SFS. |
| msk8s.f.tlu.dl.delivery.mp.microsoft.com | 80 | Wordt gebruikt bij het downloaden van de AKS Azure Stack HCI productcatalogus, productbits en os-afbeeldingen van SFS. Treedt op bij Set-AksHciConfig het uitvoeren en op elk moment dat u downloadt van SFS. |
| login.microsoftonline.com | 443 | Wordt gebruikt bij het aanmelden bij Azure bij het uitvoeren van Set-AksHciRegistration . |
| login.windows.net | 443 | Wordt gebruikt bij het aanmelden bij Azure bij het uitvoeren van Set-AksHciRegistration . |
| management.azure.com | 443 | Wordt gebruikt bij het aanmelden bij Azure bij het uitvoeren van Set-AksHciRegistration . |
| www.microsoft.com | 443 | Wordt gebruikt bij het aanmelden bij Azure bij het uitvoeren van Set-AksHciRegistration . |
| msft.sts.microsoft.com | 443 | Wordt gebruikt bij het aanmelden bij Azure bij het uitvoeren van Set-AksHciRegistration . |
| graph.windows.net | 443 | Wordt gebruikt bij het uitvoeren Install-AksHci van . |
| ecpacr.azurecr.io | 443 | Vereist om containerafbeeldingen op te halen bij het uitvoeren Install-AksHci van . |
| *.blob.core.windows.net Us endpoint: wus2replica*.blob.core.windows.net |
443 | Vereist om containerafbeeldingen op te halen bij het uitvoeren Install-AksHci van . |
| mcr.microsoft.com | 443 | Vereist om containerafbeeldingen op te halen bij het uitvoeren Install-AksHci van . |
| *.mcr.microsoft.com | 443 | Vereist om containerafbeeldingen op te halen bij het uitvoeren Install-AksHci van . |
| *.data.mcr.microsoft.com | 443 | Vereist om containerafbeeldingen op te halen bij het uitvoeren Install-AksHci van . |
| akshci.azurefd.net | 443 | Vereist voor AKS op Azure Stack HCI facturering bij het uitvoeren Install-AksHci van . |
Notitie
Omdat het beheercluster (AKS-host) gebruikmaakt van Azure Arc voor facturering, moet u deze netwerkvereisten volgen voor kubernetes-clusters Azure Arc ingeschakeld. U moet ook de url'Azure Stack HCI controleren.
Storage vereisten
De volgende opslag implementaties worden ondersteund door Azure Kubernetes Service op Azure Stack HCI:
| Name | Opslagtype | Vereiste capaciteit |
|---|---|---|
| Azure Stack HCI Cluster | Cluster Shared Volumes | 1 TB |
| Windows Server 2019 Datacenter-failovercluster | Cluster Shared Volumes | 1 TB |
| Een enkel knooppunt Windows Server 2019 Datacenter | Direct gekoppelde Storage | 500 GB |
Voor een Azure Stack HCI cluster hebt u twee ondersteunde opslagconfiguraties voor het uitvoeren van workloads van virtuele machines. Hybride opslag die de prestaties en capaciteit in balans brengt met behulp van hdd's (all-flash opslag en harde schijven) en all-flash-opslag die de prestaties maximaliseert met behulp van SOLID-State Drives (SSD's) of NVMe. Systemen die alleen op HDD gebaseerde opslag hebben, worden niet ondersteund door Azure Stack HCI en worden daarom niet aanbevolen voor het uitvoeren van AKS op Azure Stack HCI. Meer informatie over de aanbevolen schijfconfiguraties vindt u in de Azure Stack HCI documentatie. Alle systemen die zijn gevalideerd in de catalogus Azure Stack HCI vallen in een van de twee ondersteunde opslagconfiguraties hierboven.
Voor een Windows Server 2019 Datacenter-cluster kunt u implementeren met lokale opslag of op SAN gebaseerde opslag. Voor lokale opslag is het raadzaam om de ingebouwde Opslagruimten Direct ofeen equivalente gecertificeerde virtuele SAN-oplossing te gebruiken voor het maken van een hypergeconverifieerde infrastructuur met gedeelde clustervolumes voor gebruik door workloads. Voor Opslagruimten Direct is het vereist dat uw opslag hybride (flash + HDD) is die zorgt voor een goede balans tussen prestaties en capaciteit, of all-flash (SSD, NVMe) die de prestaties maximaliseert. Als u ervoor kiest om te implementeren met op SAN gebaseerde opslag, moet u ervoor zorgen dat uw SAN-opslag voldoende prestaties kan leveren om verschillende werkbelastingen van virtuele machines uit te voeren. Oudere SAN-opslag op basis van HDD biedt mogelijk niet de vereiste prestatieniveaus om meerdere werkbelastingen van virtuele machines uit te voeren en er kunnen prestatieproblemen en time-outs optreden.
Voor implementaties met één knooppunt Windows Server 2019 met lokale opslag, wordt het gebruik van all-flash-opslag (SSD, NVMe) ten zeerste aanbevolen om de vereiste prestaties te leveren voor het hosten van meerdere virtuele machines op één fysieke host. Zonder flashopslag kunnen de lagere prestatieniveaus op HDD's implementatieproblemen en time-outs veroorzaken.
Bekijk de maximaal ondersteunde hardwarespecificaties
Azure Kubernetes Service op Azure Stack HCI implementaties die de volgende specificaties overschrijden, worden niet ondersteund:
| Resource | Maximum |
|---|---|
| Fysieke servers per cluster | 4 |
| Kubernetes-clusters | 4 |
| Totaal aantal VM's | 200 |
Windows van het beheercentrum
Windows-beheercentrum is de gebruikersinterface voor het maken en beheren van Azure Kubernetes Service op Azure Stack HCI. Als u Windows-beheercentrum wilt gebruiken Azure Kubernetes Service op Azure Stack HCI, moet u voldoen aan alle criteria in de onderstaande lijst.
Dit zijn de vereisten voor de computer met de Windows-beheercentrumgateway:
- Windows 10 of Windows Server-machine
- Geregistreerd bij Azure
- In hetzelfde domein als het cluster Azure Stack HCI of Windows Server 2019 Datacenter
- Een Azure-abonnement waarvan u eigenaar bent. U kunt uw toegangsniveau controleren door naar uw abonnement te gaan en te klikken op Toegangsbeheer (IAM) aan de linkerkant van de Azure Portal en vervolgens te klikken op Mijn toegang weergeven.
Volgende stappen
Nadat u aan alle bovenstaande vereisten hebt voldaan, kunt u een host Azure Kubernetes Service instellen op Azure Stack HCI met behulp van: