Requisitos do sistema para Serviço de Kubernetes do Azure no Azure Stack HCI

Aplica-se a: Azure Stack HCI, versões 21H2 e 20H2; Windows Server 2022 Datacenter, Windows Server 2019 Datacenter

Este artigo aborda os requisitos para configurar o Serviço de Kubernetes do Azure no Azure Stack HCI ou no Windows Server 2019 Datacenter e usá-lo para criar clusters do Kubernetes. Para ter uma visão geral Serviço de Kubernetes do Azure no Azure Stack HCI, confira Visão geral do AKS Azure Stack HCI .

Determinar requisitos de hardware

A Microsoft recomenda a compra de uma solução Azure Stack HCI de hardware/software validada de nossos parceiros. Essas soluções são projetadas, montadas e validadas em nossa arquitetura de referência para garantir a compatibilidade e a confiabilidade para que você fique em funcionamento rapidamente. Você deve verificar se os sistemas, componentes, dispositivos e drivers que você está usando estão Windows Server 2019 Certificados por catálogo Windows Server. Visite o site Azure Stack HCI soluções para soluções validadas.

Requisitos gerais

Para Serviço de Kubernetes do Azure no Azure Stack HCI ou Windows Server 2019 Datacenter funcionem de maneira ideal em um ambiente do Active Directory, verifique se os seguintes requisitos foram atendidos:

  • Verifique se a sincronização de tempo está configurada e se a divergente não é maior que 2 minutos em todos os nós de cluster e no controlador de domínio. Para obter informações sobre como definir a sincronização de hora, consulte Windows Serviço de Horário.

  • Verifique se as contas de usuário que adicionam atualizações e gerenciam clusters Serviço de Kubernetes do Azure no Azure Stack HCI ou Windows Server 2019 Datacenter têm as permissões corretas no Active Directory. Se você estiver usando UOs (Unidades Organizacionais) para gerenciar políticas de grupo para servidores e serviços, as contas de usuário exigirão permissões de lista, leitura, modificação e exclusão em todos os objetos na UO.

  • É recomendável usar uma UO separada para os servidores e serviços aos quais você adiciona seus clusters Serviço de Kubernetes do Azure no Azure Stack HCI ou Windows Server 2019 Datacenter. O uso de uma UO separada permite controlar o acesso e as permissões com mais granularidade.

  • Se você estiver usando modelos de GPO em contêineres no Active Directory, verifique se a implantação do AKS no Azure Stack HCI está isenta da política. A proteger o servidor estará disponível em uma versão subsequente.

Requisitos do Azure

Conta e assinatura do Azure

Se você ainda não tiver uma conta do Azure, crie uma. Você pode usar uma assinatura existente de qualquer tipo:

Permissões, função e nível de acesso do Azure AD

Você deve ter permissões suficientes para registrar um aplicativo com seu locatário do Azure AD.

Para verificar se você tem permissões suficientes, siga as informações abaixo:

  • Vá para o portal do Azure e clique em Funções e administradores em Azure Active Directory para verificar sua função.
  • Se sua função for Usuário, você deverá garantir que não administradores possam registrar aplicativos.
  • Para verificar se você pode registrar aplicativos, acesse Configurações do usuário no serviço Azure Active Directory para verificar se você tem permissão para registrar um aplicativo.

Se a configuração de registros de aplicativo está definida como Não, somente os usuários com uma função de administrador podem registrar esses tipos de aplicativos. Para saber mais sobre as funções de administrador disponíveis e as permissões específicas no Azure AD que são fornecidas a cada função, consulte Funções do Azure AD integrados. Se sua conta for atribuída à função Usuário, mas a configuração de registro do aplicativo estiver limitada a usuários administradores, peça ao administrador para atribuir uma das funções de administrador que podem criar e gerenciar todos os aspectos de registros de aplicativo ou para permitir que os usuários registrem aplicativos.

Se você não tiver permissões suficientes para registrar um aplicativo e o administrador não puder lhe dar essas permissões, a maneira mais fácil de implantar o AKS no Azure Stack HCI é pedir ao administrador do Azure para criar uma entidade de serviço com as permissões corretas. Os administradores podem verificar a seção a seguir para saber como criar uma entidade de serviço.

Função de assinatura do Azure e nível de acesso

Para verificar o nível de acesso, navegue até sua assinatura, clique em Controle de acesso (IAM) no lado esquerdo do portal do Azure e clique em Exibir meu acesso.

  • Se você estiver usando o Windows Admin Center para implantar um Host do AKS ou um cluster de carga de trabalho do AKS, deverá ter uma assinatura do Azure na qual você seja um Proprietário.
  • Se você estiver usando o PowerShell para implantar um Host do AKS ou um cluster de carga de trabalho do AKS, o usuário que estiver registrando o cluster deverá ter pelo menos um dos seguintes:

Se sua assinatura do Azure for por meio de um EA ou CSP, a maneira mais fácil de implantar o AKS no Azure Stack HCI é pedir ao administrador do Azure para criar uma entidade de serviço com as permissões corretas. Os administradores podem verificar a seção abaixo sobre como criar uma entidade de serviço.

Opcional: Criar uma nova entidade de serviço

Execute as etapas a seguir para criar uma nova entidade de serviço com a função de cluster conectada Microsoft.Kubernetes interna. Observe que somente os proprietários da assinatura podem criar entidades de serviço com a atribuição de função correta. Você pode verificar o nível de acesso navegando até sua assinatura, clicando em Controle de acesso (IAM) no lado esquerdo do portal do Azure e clicando em Exibir meu acesso.

Instale e importe os seguintes Azure PowerShell módulos:

Install-Module -Name Az.Accounts -Repository PSGallery -RequiredVersion 2.2.4
Import-Module Az.Accounts 
Install-Module -Name Az.Resources -Repository PSGallery -RequiredVersion 3.2.0
Import-Module Az.Resources
Install-Module -Name AzureAD -Repository PSGallery -RequiredVersion 2.0.2.128
Import-Module AzureAD

Feche todas as janelas do PowerShell e reabra uma nova sessão administrativa.

Faça logoff no Azure usando o comando Conexão-AzAccount do PowerShell:

Connect-AzAccount

Descrição da assinatura que você deseja usar para registrar o host do AKS para cobrança como a assinatura padrão executando o comando Set-AzContext.

Set-AzContext -Subscription myAzureSubscription

Verifique se o contexto de logon está correto executando o comando Get-AzContext do PowerShell. Verifique se a assinatura, o locatário e a conta são o que você deseja usar para registrar o host do AKS para cobrança.

Get-AzContext
Name                                     Account                      SubscriptionName             Environment                  TenantId
----                                     -------                      ----------------             -----------                  --------
myAzureSubscription (92391anf-...        user@contoso.com             myAzureSubscription          AzureCloud                   xxxxxx-xxxx-xxxx-xxxxxx

Crie uma entidade de serviço executando o comando New-AzADServicePrincipal do PowerShell. Esse comando cria uma entidade de serviço com a função "Cluster conectado Microsoft.Kubernetes" e define o escopo em um nível de assinatura. Para obter mais informações sobre como criar entidades de serviço, visite Criar uma entidade de serviço do Azure com Azure PowerShell.

$sp = New-AzADServicePrincipal -role "Microsoft.Kubernetes connected cluster"

Recupere a senha da entidade de serviço executando o seguinte comando:

$secret = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret))
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"

Na saída acima, agora você tem a ID do aplicativo e o segredo disponíveis ao implantar o AKS no Azure Stack HCI. Você deve anotar esses itens e armazená-los com segurança. Com isso criado, no portal do Azure, em Assinaturas,Controle de Acesso e Atribuições de Função ,você deverá ver sua nova entidade de serviço.

Grupo de recursos do Azure

Você deve ter um grupo de recursos do Azure na região do Azure Leste dos EUA, Sudeste Asiático ou Europa Ocidental disponível antes do registro.

Requisitos de computação

  • Para ambientes de teste: um cluster Azure Stack HCI ou um cluster de failover do Windows Server 2019 Datacenter com um máximo de quatro servidores no cluster. Recomendamos que cada servidor no cluster tenha pelo menos 8 (16) núcleos de CPU e pelo menos 256 GB de RAM.

  • Para ambientes de produção: um cluster Azure Stack HCI ou um cluster de failover do Windows Server 2019 Datacenter com um máximo de quatro servidores no cluster. Recomendamos que cada servidor no cluster tenha pelo menos 16 (recomendados 32) núcleos de CPU e pelo menos 256 GB de RAM. Oizing final dependerá do aplicativo e do número de nós de trabalho que você está planejando implantar no cluster Azure Stack HCI trabalho.

  • Embora você possa tecnicamente executar Serviço de Kubernetes do Azure em um único nó Windows Server 2019 Datacenter, não é recomendável fazer isso. No entanto, você pode executar Serviço de Kubernetes do Azure em um único nó Windows Server 2019 Datacenter para fins de avaliação.

  • Outros requisitos de computação Serviço de Kubernetes do Azure no Azure Stack HCI estão em conformidade com Azure Stack HCI requisitos do cliente. Visite Azure Stack HCI requisitos do sistema para obter mais detalhes sobre Azure Stack HCI do servidor.

  • Você deve instalar o Azure Stack HCI sistema operacional em cada servidor no cluster usando as seleções de idioma e região en-US. No momento, você não pode alterar essas configurações após a instalação.

Requisitos gerais de rede

Os seguintes requisitos se aplicam a um cluster Azure Stack HCI, bem como a um cluster Windows Server 2019 Datacenter:

  • Verifique se você tem um com switch virtual externo existente configurado se estiver usando o Windows Admin Center. Para Azure Stack HCI clusters, essa opção e seu nome devem ser os mesmos em todos os nós de cluster.

  • Verifique se você desabilitou o IPv6 em todos os adaptadores de rede.

  • Para uma implantação bem-sucedida, os nós Azure Stack HCI cluster e as VMs de cluster do Kubernetes devem ter conectividade com a Internet externa.

  • Certifique-se de que todas as sub-redes que você definir para o cluster sejam remetíveis entre si e para a Internet.

  • Certifique-se de que haja conectividade de rede entre Azure Stack HCI hosts e as VMs de locatário.

  • A resolução de nome DNS é necessária para que todos os nós sejam capazes de se comunicar entre si.

  • (Recomendado) Habilita atualizações de DNS dinâmicas em seu ambiente DNS para permitir que o AKS no Azure Stack HCI registre o nome de cluster genérico do agente de nuvem no sistema DNS para descoberta. Se o DNS dinâmico não for uma opção, use as etapas prescritas em 'Set-AksHciConfig'.

Atribuição de endereço IP

No AKS no Azure Stack HCI, as redes virtuais são usadas para alocar endereços IP aos recursos do Kubernetes que os exigem, conforme listado acima. Há dois modelos de rede para escolher, dependendo do AKS desejado na Azure Stack HCI de rede.

Observação

A arquitetura de rede virtual definida aqui para seu AKS Azure Stack HCI implantações é diferente da arquitetura de rede física subjacente em seu data center.

  • Rede IP estática – a rede virtual aloca endereços IP estáticos para o servidor de API do cluster do Kubernetes, nós do Kubernetes, VMs subjacentes, balanceadores de carga e quaisquer serviços do Kubernetes executados sobre o cluster.

  • Rede DHCP – a rede virtual aloca endereços IP dinâmicos para os nós do Kubernetes, VMs subjacentes e balanceadores de carga usando um servidor DHCP. O servidor de API do cluster do Kubernetes e todos os serviços do Kubernetes executados sobre o cluster ainda são endereços IP estáticos alocados.

Reserva mínima de endereço IP

No mínimo, você deve reservar o seguinte número de endereços IP para sua implantação:

Tipo de cluster Nó do plano de controle Nó de trabalho Para operações de atualização Balanceador de carga
AKS Host 1 IP NA 2 IP NA
Cluster de carga de trabalho 1 IP por nó 1 IP por nó 5 IP 1 IP

Além disso, você deve reservar o seguinte número de endereços IP para seu pool de VIP:

Tipo de recurso Número de endereços IP
Servidor de API de cluster 1 por cluster
Serviços Kubernetes 1 por serviço

Como você pode ver, o número de endereços IP necessários é variável, dependendo do AKS na arquitetura Azure Stack HCI e do número de serviços executados no cluster do Kubernetes. É recomendável reservar um total de 256 endereços IP (/24 sub-rede) para sua implantação.

Para obter mais informações sobre requisitos de rede, visite conceitos de rede de nó no AKS Azure Stack HCI e conceitos de rede de contêiner no AKS no Azure Stack HCI.

Requisitos de porta de rede e URL

Ao criar um Cluster de Kubernetes do Azure no Azure Stack HCI, as portas de firewall a seguir são abertas automaticamente em cada servidor no cluster.

Porta do firewall Description
45000 porta do servidor wssdagent GPRC
45001 porta de autenticação wssdagent GPRC
55000 porta do servidor GPRC wssdcloudagent
65000 porta de autenticação gpRC wssdcloudagent

Exceções de URL de firewall são necessárias para o computador Windows Admin Center e todos os nós no cluster Azure Stack HCI aplicativo.

URL Porta Observações
msk8s.api.cdp.microsoft.com 443 Usado ao baixar o AKS em Azure Stack HCI catálogo de produtos, bits de produto e imagens do sistema operacional do SFS. Ocorre ao executar e Set-AksHciConfig a qualquer momento você baixa do SFS.
msk8s.b.tlu.dl.delivery.mp.microsoft.com 80 Usado ao baixar o AKS em Azure Stack HCI catálogo de produtos, bits de produto e imagens do sistema operacional do SFS. Ocorre ao executar e Set-AksHciConfig a qualquer momento você baixa do SFS.
msk8s.f.tlu.dl.delivery.mp.microsoft.com 80 Usado ao baixar o AKS em Azure Stack HCI catálogo de produtos, bits de produto e imagens do sistema operacional do SFS. Ocorre ao executar e Set-AksHciConfig a qualquer momento você baixa do SFS.
login.microsoftonline.com 443 Usado ao fazer logor no Azure ao executar Set-AksHciRegistration o .
login.windows.net 443 Usado ao fazer logor no Azure ao executar Set-AksHciRegistration o .
management.azure.com 443 Usado ao fazer logor no Azure ao executar Set-AksHciRegistration o .
www.microsoft.com 443 Usado ao fazer logor no Azure ao executar Set-AksHciRegistration o .
msft.sts.microsoft.com 443 Usado ao fazer logor no Azure ao executar Set-AksHciRegistration o .
graph.windows.net 443 Usado ao executar Install-AksHci .
ecpacr.azurecr.io 443 Necessário para pull de imagens de contêiner ao executar Install-AksHci .
*.blob.core.windows.net
Ponto de extremidade dos EUA: wus2replica*.blob.core.windows.net
443 Necessário para pull de imagens de contêiner ao executar Install-AksHci .
mcr.microsoft.com 443 Necessário para pull de imagens de contêiner ao executar Install-AksHci .
*.mcr.microsoft.com 443 Necessário para pull de imagens de contêiner ao executar Install-AksHci .
*.data.mcr.microsoft.com 443 Necessário para pull de imagens de contêiner ao executar Install-AksHci .
akshci.azurefd.net 443 Necessário para o AKS no Azure Stack HCI ao executar Install-AksHci o .

Observação

Como o cluster de gerenciamento (host do AKS) usa Azure Arc para cobrança, você deve seguir esses requisitos de rede para Azure Arc clusters kubernetes habilitados. Você também deve analisar as URLs Azure Stack HCI .

Requisitos de armazenamento

As seguintes implementações de armazenamento têm suporte Serviço de Kubernetes do Azure no Azure Stack HCI:

Name Tipo de armazenamento Capacidade necessária
Azure Stack HCI Cluster Volumes Compartilhados Clusterizados 1 TB
Windows cluster de failover do Datacenter server 2019 Volumes Compartilhados Clusterizados 1 TB
Datacenter Windows Server 2019 Conexão direta Armazenamento 500 GB

Para um cluster Azure Stack HCI, você tem duas configurações de armazenamento com suporte para executar cargas de trabalho de máquina virtual. Armazenamento híbrido que equilibra o desempenho e a capacidade usando hdds (unidades de disco rígido) e armazenamento de disco rígido com flash que maximiza o desempenho usando SSDs (unidades de estado sólido) ou NVMe. Sistemas que têm apenas armazenamento baseado em HDD não têm suporte do Azure Stack HCI e, portanto, não são recomendados para executar o AKS em Azure Stack HCI. Você pode ler mais sobre as configurações de unidade recomendadas na documentação Azure Stack HCI . Todos os sistemas que foram validados no catálogo Azure Stack HCI se enquadram em uma das duas configurações de armazenamento com suporte acima.

Para um cluster Windows Server 2019 Baseado em Datacenter, você pode implantar com armazenamento local ou com armazenamento baseado em SAN. Para o armazenamento local, é recomendável usar o Espaços de Armazenamento Directinterno ou uma solução san virtual certificada equivalente para criar uma infraestrutura hiperconvergente que apresenta Volumes Compartilhados Clusterizados para uso por cargas de trabalho. Para Espaços de Armazenamento Direct, é necessário que o armazenamento seja híbrido (flash + HDD) que equilibre o desempenho e a capacidade ou todo o flash (SSD, NVMe) que maximiza o desempenho. Se você optar por implantar com o armazenamento baseado em SAN, verifique se o armazenamento SAN pode fornecer desempenho suficiente para executar várias cargas de trabalho de máquina virtual. O armazenamento SAN baseado em HDD mais antigo pode não fornecer os níveis necessários de desempenho para executar várias cargas de trabalho de máquina virtual, e você pode ver problemas de desempenho e tempos-tempoouts.

Para implantações do Windows Server 2019 de nó único usando o armazenamento local, o uso do armazenamento all-flash (SSD, NVMe) é altamente recomendável para fornecer o desempenho necessário para hospedar várias máquinas virtuais em um único host físico. Sem o armazenamento flash, os níveis inferiores de desempenho em HDDs podem causar problemas de implantação e tempos-tempo excedados.

Revisar as especificações máximas de hardware com suporte

Serviço de Kubernetes do Azure no Azure Stack HCI implantações que excedem as seguintes especificações não são suportadas:

Recurso Máximo
Servidores físicos por cluster 4
Kubernetes Clusters 4
Número total de VMs 200

Windows do Centro de Administração

Windows Admin Center é a interface do usuário para criar e gerenciar Serviço de Kubernetes do Azure no Azure Stack HCI. Para usar Windows Admin Center com Serviço de Kubernetes do Azure no Azure Stack HCI, você deve atender a todos os critérios na lista abaixo.

Aqui estão os requisitos para o computador que executa o gateway Windows Admin Center:

  • Windows 10 ou Windows Server
  • Registrado com o Azure
  • No mesmo domínio que o cluster Azure Stack HCI ou Windows Server 2019 Datacenter
  • Uma assinatura do Azure na qual você é um Proprietário. Você pode verificar seu nível de acesso navegando até sua assinatura e clicando em Controle de acesso (IAM) no lado esquerdo do portal do Azure e clicando em Exibir meu acesso.

Próximas etapas

Depois de ter atendido todos os pré-requisitos acima, você pode configurar um host Serviço de Kubernetes do Azure no Azure Stack HCI usando: