Requisitos do sistema para o Serviço Azure Kubernetes no Azure Stack HCI

Aplica-se a: Azure Stack HCI, versões 21H2 e 20H2; Datacenter Windows Server 2022, Windows Server 2019 Datacenter

Este artigo abrange os requisitos para a criação do Serviço Azure Kubernetes no Azure Stack HCI ou no Datacenter Windows Server 2019 e usá-lo para criar clusters Kubernetes. Para uma visão geral do Serviço Azure Kubernetes em Azure Stack HCI, consulte a AKS na visão geral do Azure Stack HCI.

Determinar requisitos de hardware

A Microsoft recomenda a compra de uma solução de hardware/software Azure Stack HCI validada dos nossos parceiros. Estas soluções são projetadas, montadas e validadas contra a nossa arquitetura de referência para garantir compatibilidade e fiabilidade para que se levante ecorra rapidamente. Deve verificar se os sistemas, componentes, dispositivos e controladores que está a utilizar são Windows Server 2019 Certificado pelo Catálogo de Servidor Windows. Visite o website de soluções HCI da Azure Stack para obter soluções validadas.

Requisitos gerais

Para o serviço Azure Kubernetes no Azure Stack HCI ou Windows Server 2019 Datacenter para funcionar da melhor forma num ambiente de Diretório Ativo, certifique-se de que os seguintes requisitos são preenchidos:

  • Certifique-se de que a sincronização do tempo é configurada e que a divergência não é superior a 2 minutos em todos os nós do cluster e no controlador de domínio. Para obter informações sobre a sincronização do tempo de configuração, consulte Windows Serviço de Tempo.

  • Certifique-se de que a(s) conta de utilizador(s) que adiciona atualizações, e gere o Serviço Azure Kubernetes no Azure Stack HCI ou Windows Os clusters datacenter do Servidor 2019 têm as permissões corretas no Ative Directory. Se estiver a utilizar unidades organizacionais (OUs) para gerir políticas de grupo para servidores e serviços, a(s) conta(s) do utilizador exigirá lista, leitura, modificação e eliminação de permissões em todos os objetos da U.O.

  • Recomendamos a utilização de um OU separado para os servidores e serviços aos quais adiciona o seu Serviço Azure Kubernetes em Azure Stack HCI ou Windows Conjuntos de Datacenter 2019. A utilização de um OU separado permite-lhe controlar o acesso e permissões com mais granularidade.

  • Se estiver a utilizar modelos de GPO em contentores no Ative Directory, certifique-se de que a implantação de AKS no Azure Stack HCI está isenta da política. O endurecimento do servidor estará disponível numa versão posterior.

Requisitos do Azure

Conta E subscrição Azure

Se ainda não tem uma conta Azure, crie uma. Pode utilizar uma subscrição existente de qualquer tipo:

Permissões AD AZure, função e nível de acesso

Você deve ter permissões suficientes para registar um pedido com o seu inquilino AZURE AD.

Para verificar se tem permissões suficientes, siga as informações abaixo:

  • Vá ao portal Azure e clique em Funções e administradores sob Azure Ative Directory para verificar a sua função.
  • Se a sua função for Utilizador,tem de se certificar de que os não administradores podem registar as aplicações.
  • Para verificar se pode registar as aplicações, aceda às definições do Utilizador ao abrigo do serviço Azure Ative Directory para verificar se tem permissão para registar uma aplicação.

Se a definição de registos de aplicações estiver definida como Nº,apenas os utilizadores com uma função de administrador podem registar este tipo de aplicações. Para conhecer as funções de administrador disponíveis e as permissões específicas em Azure AD que são dadas a cada papel, consulte as funções incorporadas da AD AD. Se a sua conta tiver sido atribuída à função Utilizador, mas a definição de registo da aplicação está limitada aos utilizadores administrativos, peça ao seu administrador para lhe atribuir uma das funções de administrador que pode criar e gerir todos os aspetos dos registos de aplicações, ou para permitir que os utilizadores registem aplicações.

Se não tiver permissões suficientes para registar uma aplicação e o seu administrador não lhe puder dar estas permissões, a forma mais fácil de implantar AKS no Azure Stack HCI é pedir ao seu administrador Azure para criar um diretor de serviço com as permissões certas. Os administradores podem verificar a seguinte secção para aprender a criar um diretor de serviço.

Papel de subscrição Azure e nível de acesso

Para verificar o seu nível de acesso, navegue na sua subscrição, clique no controlo de acesso (IAM) no lado esquerdo do portal Azure e, em seguida, clique em Ver o meu acesso.

  • Se estiver a utilizar Windows Centro de Administração para implantar um Anfitrião AKS ou um cluster de carga de trabalho AKS, deve ter uma subscrição Azure na qual é proprietário.
  • Se estiver a utilizar o PowerShell para implantar um anfitrião AKS ou um cluster de carga de trabalho AKS, o utilizador que regista o cluster deve ter pelo menos um dos seguintes:

Se a sua subscrição Azure for através de um EA ou CSP, a maneira mais fácil de implementar AKS no Azure Stack HCI é pedir ao seu administrador Azure para criar um principal de serviço com as permissões certas. Os administradores podem verificar a secção abaixo sobre como criar um principal de serviço.

Opcional: Criar um novo diretor de serviço

Executar os seguintes passos para criar um novo diretor de serviço com o papel de cluster conectado Microsoft.Kubernetes incorporado. Note que apenas os proprietários de subscrição podem criar principais de serviço com a atribuição de função correta. Pode verificar o seu nível de acesso navegando na sua subscrição, clicando no controlo de acesso (IAM) no lado esquerdo do portal Azure e, em seguida, clicando no Ver o meu acesso.

Instalar e importar os seguintes módulos Azure PowerShell:

Install-Module -Name Az.Accounts -Repository PSGallery -RequiredVersion 2.2.4
Import-Module Az.Accounts 
Install-Module -Name Az.Resources -Repository PSGallery -RequiredVersion 3.2.0
Import-Module Az.Resources
Install-Module -Name AzureAD -Repository PSGallery -RequiredVersion 2.0.2.128
Import-Module AzureAD

Feche todas as janelas powerShell e reabra uma nova sessão administrativa.

Faça login em Azure utilizando o comando powershell Ligação-AzAccount:

Connect-AzAccount

Descreva a subscrição que pretende utilizar para registar o seu anfitrião AKS como subscrição predefinida executando o comando Set-AzContext.

Set-AzContext -Subscription myAzureSubscription

Verifique se o seu contexto de início de sessão está correto executando o comando Get-AzContext PowerShell. Verifique se a subscrição, inquilino e conta é o que pretende usar para registar o seu anfitrião AKS para faturação.

Get-AzContext
Name                                     Account                      SubscriptionName             Environment                  TenantId
----                                     -------                      ----------------             -----------                  --------
myAzureSubscription (92391anf-...        user@contoso.com             myAzureSubscription          AzureCloud                   xxxxxx-xxxx-xxxx-xxxxxx

Crie um principal de serviço executando o comando New-AzADServicePrincipal PowerShell. Este comando cria um principal de serviço com a função "Microsoft.Kubernetes connected cluster" e define o âmbito a um nível de subscrição. Para obter mais informações sobre a criação de diretores de serviços, visite criar um diretor de serviço Azure com Azure PowerShell.

$sp = New-AzADServicePrincipal -role "Microsoft.Kubernetes connected cluster"

Recupere a palavra-passe para o principal do serviço executando o seguinte comando:

$secret = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret))
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"

A partir da saída acima, você tem agora o ID da aplicação e o segredo disponível ao implementar AKS no Azure Stack HCI. Tome nota destes itens e guarde-os em segurança. Com isso criado, no portal Azure, em Subscrições,Controlo de Acesso,e depois Atribuições de Funções, deverá consultar o seu novo Diretor de Serviço.

Grupo de recursos do Azure

Você deve ter um grupo de recursos Azure no Leste dos EUA, Sudeste Asiático ou região Azure da Europa Ocidental disponível antes do registo.

Requisitos de computação

  • Para ambientes de teste: Um cluster HCI Azure Stack ou um cluster de failover do Datacenter 2019 do Windows Com um máximo de quatro servidores no cluster. Recomendamos que cada servidor do cluster tenha pelo menos 8 núcleos de CPU (recomendados 16) e pelo menos 256 GB de RAM.

  • Para ambientes de produção: Um cluster HCI Azure Stack ou um cluster de failover do Datacenter 2019 do Windows Server 2019 com um máximo de quatro servidores no cluster. Recomendamos que cada servidor do cluster tenha pelo menos 16 (recomendado 32) núcleos de CPU e pelo menos 256 GB de RAM. O dimensionamento final dependerá da aplicação e do número de nós de trabalhadores que está a planear implantar no cluster HCI da Pilha de Azure.

  • Embora tecnicamente possa executar o Serviço Azure Kubernetes num único nó Windows Centro de Dados Do Servidor 2019, não recomendamos que o faça. No entanto, pode executar o Serviço Azure Kubernetes num único nó Windows Centro de Dados Do Servidor 2019 para efeitos de avaliação.

  • Outros requisitos de computação para o Serviço Azure Kubernetes em Azure Stack HCI estão em conformidade com os requisitos do Azure Stack HCI. Visite os requisitos do sistema HCI Azure Stack para obter mais detalhes sobre os requisitos do servidor HCI do Azure Stack.

  • Tem de instalar o sistema operativo Azure Stack HCI em cada servidor do cluster utilizando a região EN-US e as seleções linguísticas. Neste momento, não é possível alterar estas definições após a instalação.

Requisitos gerais de rede

Os seguintes requisitos aplicam-se a um cluster HCI Azure Stack, bem como a um cluster Windows Server 2019 Datacenter:

  • Verifique se tem um interruptor virtual externo existente configurado se estiver a utilizar Windows Centro de Administração. Para os clusters HCI Azure Stack, este interruptor e o seu nome devem ser os mesmos em todos os nós do cluster.

  • Verifique se desativou o IPv6 em todos os adaptadores de rede.

  • Para uma implementação bem sucedida, os nós de cluster HCI da Pilha Azure e os VMs do cluster Kubernetes devem ter conectividade externa na internet.

  • Certifique-se de que todas as sub-redes que define para o cluster são encaminháveis entre si e para a internet.

  • Certifique-se de que existe conectividade de rede entre os anfitriões HCI da Azure Stack e os VMs do inquilino.

  • A resolução do nome DNS é necessária para que todos os nós possam comunicar uns com os outros.

  • (Recomendado) Ative atualizações dinâmicas de DNS no seu ambiente DNS para permitir que a AKS no Azure Stack HCI registe o nome do cluster genérico do agente de nuvem no sistema DNS para ser descoberto. Se o DNS dinâmico não for uma opção, utilize os passos prescritos em 'Set-AksHciConfig'.

Atribuição de endereços IP

Em AKS on Azure Stack HCI, as redes virtuais são usadas para alocar endereços IP aos recursos Kubernetes que os requeiram, conforme listado acima. Existem dois modelos de networking para escolher, dependendo da arquitetura de rede Azure Stack HCI.

Nota

A arquitetura de networking virtual definida aqui para o seu AKS em Azure Stack HCI implementa é diferente da arquitetura de networking físico subjacente no seu centro de dados.

  • Rede IP estática - A rede virtual atribui endereços IP estáticos ao servidor API do cluster Kubernetes, nómadas Kubernetes, VMs subjacentes, equilibradores de carga e quaisquer serviços Kubernetes que execute em cima do seu cluster.

  • Rede DHCP - A rede virtual atribui endereços IP dinâmicos aos nós Kubernetes, VMs subjacentes e equilibradores de carga utilizando um servidor DHCP. O servidor API do cluster Kubernetes e quaisquer serviços Kubernetes que execute em cima do seu cluster ainda estão alocados endereços IP estáticos.

Reserva mínima de endereço IP

No mínimo, deverá reservar o seguinte número de endereços IP para a sua implantação:

Tipo de cluster Nó de avião de controlo Nó do trabalhador Para operações de atualização Balanceador de carga
Anfitrião AKS 1 IP ND 2 IP ND
Cluster de carga de trabalho 1 IP por nó 1 IP por nó 5 IP 1 IP

Além disso, deverá reservar o seguinte número de endereços IP para a sua piscina VIP:

Tipo de recurso Número de endereços IP
Servidor API cluster 1 por aglomerado
Serviços do Kubernetes 1 por serviço

Como pode ver, o número de endereços IP necessários é variável dependendo da AKS na arquitetura HCI Azure Stack e do número de serviços que executa no seu cluster Kubernetes. Recomendamos reservar um total de 256 endereços IP (sub-rede/24) para a sua implantação.

Para obter mais informações sobre os requisitos de networking, visite conceitos de rede de nó em AKS em Azure Stack HCI e conceitos de networking de contentores em AKS on Azure Stack HCI.

Requisitos de porta de rede e URL

Ao criar um Cluster Azure Kubernetes no Azure Stack HCI, as seguintes portas de firewall são automaticamente abertas em cada servidor do cluster.

Porta de firewall Description
45000 porta de servidor GPRC wssdagent
45001 porta de autenticação gpRC wssdagent
55000 porta de servidor GPRC wssdcloudagent
65000 porta de autenticação GPRC wssdcloudagent

São necessárias exceções de URL de firewall para a máquina Windows Admin Center e todos os nós no cluster HCI Azure Stack.

URL Porta Notas
msk8s.api.cdp.microsoft.com 443 Utilizado ao descarregar o catálogo de produtos AKS no Azure Stack HCI, bits de produto e imagens de SO da SFS. Ocorre quando está em execução Set-AksHciConfig e a qualquer momento descarrega a partir de SFS.
msk8s.b.tlu.dl.delivery.mp.microsoft.com 80 Utilizado ao descarregar o catálogo de produtos AKS no Azure Stack HCI, bits de produto e imagens de SO da SFS. Ocorre quando está em execução Set-AksHciConfig e a qualquer momento descarrega a partir de SFS.
msk8s.f.tlu.dl.delivery.mp.microsoft.com 80 Utilizado ao descarregar o catálogo de produtos AKS no Azure Stack HCI, bits de produto e imagens de SO da SFS. Ocorre quando está em execução Set-AksHciConfig e a qualquer momento descarrega a partir de SFS.
login.microsoftonline.com 443 Utilizado ao iniciar sessão no Azure durante a execução Set-AksHciRegistration .
login.windows.net 443 Utilizado ao iniciar sessão no Azure durante a execução Set-AksHciRegistration .
management.azure.com 443 Utilizado ao iniciar sessão no Azure durante a execução Set-AksHciRegistration .
www.microsoft.com 443 Utilizado ao iniciar sessão no Azure durante a execução Set-AksHciRegistration .
msft.sts.microsoft.com 443 Utilizado ao iniciar sessão no Azure durante a execução Set-AksHciRegistration .
graph.windows.net 443 Utilizado durante a execução Install-AksHci .
ecpacr.azurecr.io 443 É necessário retirar imagens do contentor durante a execução Install-AksHci .
*.blob.core.windows.net
Ponto final dos EUA: wus2replica*.blob.core.windows.net
443 É necessário retirar imagens do contentor durante a execução Install-AksHci .
mcr.microsoft.com 443 É necessário retirar imagens do contentor durante a execução Install-AksHci .
*.mcr.microsoft.com 443 É necessário retirar imagens do contentor durante a execução Install-AksHci .
*.data.mcr.microsoft.com 443 É necessário retirar imagens do contentor durante a execução Install-AksHci .
akshci.azurefd.net 443 Obrigatório para faturação HCI da AKS na Azure Stack HCI durante a execução Install-AksHci .

Nota

Uma vez que o cluster de gestão (anfitrião AKS) utiliza o Azure Arc para faturação, deve seguir estes requisitos de rede para clusters Azure Arc ativados por Kubernetes. Também deve rever os URLs Azure Stack HCI.

requisitos Armazenamento

As seguintes implementações de armazenamento são suportadas pelo Serviço Azure Kubernetes em Azure Stack HCI:

Name Tipo de armazenamento Capacidade necessária
Aglomerado HCI da Pilha de Azure Volumes Partilhados de Cluster 1 TB
Windows Servidor 2019 Cluster de failover do Datacenter Volumes Partilhados de Cluster 1 TB
Datacenter de Windows de nó único 2019 Armazenamento de anexo direto 500 GB

Para um cluster HCI Azure Stack, você tem duas configurações de armazenamento suportadas para executar cargas de trabalho de máquina virtual. Armazenamento híbrido que equilibra o desempenho e a capacidade utilizando o armazenamento de todos os flashes e discos rígidos (HDDs), e o armazenamento de flash que maximiza o desempenho usando unidades de estado sólido (SSDs) ou NVMe. Os sistemas que apenas possuem armazenamento baseado em HDD não são suportados pelo Azure Stack HCI, pelo que não são recomendados para executar AKS em Azure Stack HCI. Pode ler mais sobre as configurações recomendadas de unidade na documentação Azure Stack HCI. Todos os sistemas que tenham sido validados no catálogo HCI do Azure Stack insuem-se numa das duas configurações de armazenamento suportadas acima.

Para um cluster baseado em datacenter Windows 2019, pode implementar com armazenamento local ou armazenamento baseado em SAN. Para armazenamento local, é recomendado usar o Espaços de Armazenamento Directincorporado, ou uma solução SAN virtual certificada equivalente para criar uma infraestrutura hiperconvergizada que apresenta Cluster Shared Volumes para uso por cargas de trabalho. Para Espaços de Armazenamento Direct, é necessário que o seu armazenamento seja híbrido (flash + HDD) que equilibra o desempenho e a capacidade, ou all-flash (SSD, NVMe) que maximize o desempenho. Se optar por implementar com armazenamento baseado em SAN, certifique-se de que o seu armazenamento SAN pode fornecer desempenho suficiente para executar várias cargas de trabalho de máquinas virtuais. O armazenamento SAN baseado em HDD mais antigo pode não fornecer os níveis de desempenho necessários para executar várias cargas de trabalho de máquinas virtuais, e você pode ver problemas de desempenho e intervalos de tempo.

Para as implementações do Windows Server 2019 com armazenamento local, a utilização de armazenamento de todos os flashes (SSD, NVMe) é altamente recomendada para fornecer o desempenho necessário para hospedar várias máquinas virtuais num único hospedeiro físico. Sem armazenamento de flash, os níveis mais baixos de desempenho em HDDs podem causar problemas de implantação e intervalos de tempo.

Rever especificações máximas de hardware suportadas

O serviço Azure Kubernetes em implementações HCI da Azure Stack que excedam as seguintes especificações não são suportados:

Recurso Máximo
Servidores físicos por cluster 4
Kubernetes Clusters 4
Número total de VMs 200

Requisitos do Centro de Administração Windows

Windows Admin Center é a interface de utilizador para criar e gerir o Serviço Azure Kubernetes no Azure Stack HCI. Para utilizar Windows Centro de Administração com serviço Azure Kubernetes no Azure Stack HCI, deve cumprir todos os critérios da lista abaixo.

Aqui estão os requisitos para a máquina que executa o gateway do Centro de Administração Windows:

  • Windows 10 ou Windows máquina de servidor
  • Registado no Azure
  • No mesmo domínio que o Azure Stack HCI ou o Windows Servidor 2019 Datacenter cluster
  • Uma subscrição da Azure na qual é proprietário. Pode verificar o seu nível de acesso navegando na sua subscrição e clicando no Controlo de Acesso (IAM) no lado esquerdo do portal Azure e, em seguida, clicando no Ver o meu acesso.

Passos seguintes

Depois de ter satisfeito todos os pré-requisitos acima, pode configurar um anfitrião de serviço Azure Kubernetes no Azure Stack HCI utilizando: