Systemanforderungen für AKS, die auf Azure Local 22H2 durch Azure Arc aktiviert sind
Gilt für: Azure Local, Versionen 22H2; Windows Server 2022, Windows Server 2019
In diesem Artikel werden die Anforderungen für das Einrichten von Azure Kubernetes Service (AKS) beschrieben, die von Azure Arc aktiviert sind. Eine Übersicht über die von Arc aktivierten AKS finden Sie in der AKS-Übersicht.
Hardwareanforderungen
Microsoft empfiehlt, eine validierte lokale Azure-Hardware-/Softwarelösung von unseren Partnern zu erwerben. Diese Lösungen wurden für die Ausführung unserer Referenzarchitektur entworfen, zusammengestellt und überprüft und ermöglichen die Überprüfung der Kompatibilität und Zuverlässigkeit, sodass Sie sofort loslegen können. Überprüfen Sie, ob die von Ihnen verwendeten Systeme, Komponenten, Geräte und Treiber gemäß Windows Server Catalog für Windows Server zertifiziert sind. Auf der Website Azure Local-Lösungen finden Sie geprüfte Lösungen.
Wichtig
Die Hostsysteme für Produktionsbereitstellungen müssen physische Hardware sein. Geschachtelte Virtualisierung, d.h., die Bereitstellung von Azure Local oder Windows Server in einer virtuellen Maschine und die anschließende Installation von AKS in dieser virtuellen Maschine, wird nicht unterstützt.
Maximal unterstützte Hardwarespezifikationen
AKS für lokale Azure- und Windows Server-Bereitstellungen, die die folgenden Spezifikationen überschreiten, werden nicht unterstützt:
Resource | Maximum |
---|---|
Physische Server pro Cluster | 8 (Azure Local Version 22H2 und Windows Server) |
Gesamtzahl der virtuellen Computer | 200 |
Computeanforderungen
Mindestens erforderlicher Arbeitsspeicher
Sie können Ihren AKS-Cluster wie folgt einrichten, um AKS auf einem einzelnen Knoten mit eingeschränktem RAM auszuführen:
Clustertyp | Größe des virtuellen Computers auf Steuerungsebene | Workerknoten | Für Aktualisierungsvorgänge | Load Balancer |
---|---|---|---|---|
AKS-Host | Standard_A4_v2-VM-Größe: 8 GB | N/A – AKS-Host verfügt nicht über Arbeitsknoten. | 8 GB | N/A – AKS-Host verwendet kubevip für den Lastenausgleich. |
Workloadcluster | Standard_A4_v2-VM-Größe: 8 GB | Standard_K8S3_v1 für einen einzelnen Workerknoten: 6 GB | Kann diese reservierte 8 GB für das Workloadclusterupgrade wiederverwenden. | N/A, wenn kubevip für den Lastenausgleich verwendet wird (anstelle des standardmäßigen HAProxy-Lastenausgleichsmoduls). |
Mindestanforderung: 30 GB RAM.
Diese Mindestanforderung gilt für eine AKS-Bereitstellung mit einem Arbeitsknoten für die Ausführung containerisierter Anwendungen. Wenn Sie Arbeitsknoten oder einen HAProxy-Lastenausgleich hinzufügen möchten, ändert sich die endgültige RAM-Anforderung entsprechend.
Empfohlene Computeanforderungen
Environment | CPU-Kerne pro Server | RAM |
---|---|---|
Azure Lokal | 32 | 256 GB |
Windows Server-Failovercluster | 32 | 256 GB |
Windows Server mit einzelnem Knoten | 16 | 128 GB |
Für eine Produktionsumgebung hängt die endgültige Dimensionsanpassung von der Anwendung und der Anzahl der Workerknoten ab, die Sie für die Bereitstellung auf dem Azure Local- oder Windows Server-Cluster planen. Wenn Sie AKS auf einem Einzelknoten-Windows Server ausführen, erhalten Sie nicht die gleichen Features wie bei der Ausführung von AKS auf einem lokalen Azure- oder Windows Server-Cluster oder einem Windows Server-Failovercluster, wie etwa die hohe Verfügbarkeit.
Andere Computeanforderungen für AKS auf Azure Local und Windows Server entsprechen den lokalen Azure-Anforderungen. Siehe Lokale Azure-Systemanforderungen für weitere Informationen zu den Anforderungen an lokale Azure-Server.
Auf jedem Server im Cluster muss das gleiche Betriebssystem installiert werden. Wenn Sie Azure Local verwenden, muss sich dasselbe Betriebssystem und dieselbe Version auf jedem Server im Cluster befinden. Wenn Sie Windows Server Datacenter verwenden, muss dasselbe Betriebssystem und die gleiche Version auf jedem Server im Cluster sein. Jedes Betriebssystem muss die Regions- und Sprachauswahl "en-us " verwenden. Diese Einstellungen können nach der Installation nicht mehr geändert werden.
Speicheranforderungen
AKS auf Azure Local und Windows Server unterstützt die folgenden Speicherimplementierungen:
Name | Speichertyp | Erforderliche Kapazität |
---|---|---|
Lokaler Azure-Cluster | Freigegebene Clustervolumes | 1 TB |
Windows Server Datacenter-Failovercluster | Freigegebene Clustervolumes | 1 TB |
Windows Server Datacenter mit einzelnem Knoten | Direkt angeschlossener Speicher | 500 GB |
Für einen lokalen Azure- oder Windows Server-Cluster gibt es zwei unterstützte Speicherkonfigurationen für die Ausführung virtueller Computerworkloads:
- Hybridspeicher bietet durch Flashspeicher und Festplattenlaufwerke (Hard Disk Drives, HDDs) ein ausgewogenes Verhältnis zwischen Leistung und Kapazität.
- All-Flash-Speicher maximiert die Leistung durch die Verwendung von SSD-Datenträgern (Solid State Drives) oder NVMe.
Systeme, die nur ÜBER HDD-basierten Speicher verfügen, werden von Azure Local nicht unterstützt und daher nicht für die Ausführung von AKS auf Azure Local und Windows Server empfohlen. Weitere Informationen zu den empfohlenen Laufwerkkonfigurationen finden Sie in der Azure-Lokaldokumentation. Alle im Azure Local-Katalog überprüft werden, validierten Systeme fallen in eine dieser beiden unterstützten Speicherkonfigurationen.
Kubernetes verwendet etcd , um den Status der Cluster zu speichern. etcd speichert die Konfiguration, die Spezifikationen und den Status ausgeführter Pods. Darüber hinaus wird der Speicher von Kubernetes für die Dienstermittlung verwendet. Als koordinierende Komponente für den Betrieb von Kubernetes und der unterstützten Workloads sind Wartezeit und Durchsatz in Richtung etcd von entscheidender Bedeutung. AKS muss auf einer SSD ausgeführt werden. Weitere Informationen finden Sie unter Performance bei etcd.io.
Bei einem Windows Server Datacenter-basierten Cluster können Sie die Bereitstellung mit lokalem Speicher oder mit SAN-basiertem Speicher durchführen. Für den lokalen Speicher wird empfohlen, die integrierte Speicherplätze Direct oder eine entsprechende zertifizierte virtuelle SAN-Lösung zu verwenden, um eine hyperkonvergierte Infrastruktur zu erstellen, die freigegebene Clustervolumes für die Verwendung durch Workloads darstellt. Für direkte Speicherplätze muss Ihr Speicher entweder Hybridspeicher (Flash und HDD), der Leistung und Kapazität ausgleicht, oder All-Flash-Speicher (SSD, NVMe) sein, der die Leistung maximiert. Wenn Sie sich für die Bereitstellung mit SAN-basiertem Speicher entscheiden, muss Ihr SAN-Speicher genügend Leistung liefern können, um die Workloads mehrerer virtueller Computer ausführen zu können. Ältere HDD-basierte SAN-Speicher liefern möglicherweise nicht die erforderlichen Leistungsstufen, um mehrere Arbeitslasten virtueller Computer auszuführen, und Möglicherweise werden Leistungsprobleme und Timeouts angezeigt.
Für Windows Server-Bereitstellungen mit einem einzelnen Knoten und lokalem Speicher wird dringend die Verwendung von All-Flash-Speicher (SSD, NVMe) empfohlen, um die erforderliche Leistung zum Hosten mehrerer virtueller Computer auf einem einzelnen physischen Host bereitzustellen. Ohne Flashspeicher können die niedrigeren Leistungsstufen auf HDDs zu Bereitstellungsproblemen und Timeouts führen.
Netzwerkanforderungen
Die folgenden Anforderungen gelten für einen Azure Local 22H2-Cluster und einen Windows Server Datacenter-Cluster. Informationen zu Netzwerkanforderungen in Azure Local 23H2 finden Sie unter Netzwerkanforderungen.
- Stellen Sie bei Verwendung von Windows Admin Center für Azure Local 22H2 und Windows Server sicher, dass ein externer virtueller Switch vorhanden und konfiguriert ist. Bei lokalen Azure- oder Windows Server-Clustern muss dieser Switch und sein Name für alle Clusterknoten gleich sein. Informationen zu Azure Local 23H2 finden Sie in den Netzwerksystemanforderungen.
- Vergewissern Sie sich, dass Sie IPv6 auf allen Netzwerkadaptern deaktiviert haben.
- Für eine erfolgreiche Bereitstellung müssen die Lokalen Azure- oder Windows Server-Clusterknoten und die Kubernetes-Cluster-VMs über eine externe Internetverbindung verfügen.
- Stellen Sie sicher, dass alle Subnetze, die Sie für den Cluster definieren, zwischeneinander und in das Internet routingfähig sind.
- Stellen Sie sicher, dass die Netzwerkkonnektivität zwischen lokalen Azure-Hosts und den VMs des Mandanten besteht.
- Die DNS-Namensauflösung ist erforderlich, damit alle Knoten miteinander kommunizieren können.
- (Empfohlen) Aktivieren Sie dynamische DNS-Updates in Ihrer DNS-Umgebung, damit AKS den generischen Clusternamen des Cloud-Agents im DNS-System für die Ermittlung registrieren kann.
IP-Adresszuweisung
In AKS, die von Arc aktiviert sind, werden virtuelle Netzwerke verwendet, um IP-Adressen den Kubernetes-Ressourcen zuzuordnen, die sie erfordern, wie zuvor aufgeführt. Je nach gewünschter AKS-Netzwerkarchitektur gibt es zwei Netzwerkmodelle.
Hinweis
Die hier für Ihre AKS-Bereitstellungen definierte virtuelle Netzwerkarchitektur unterscheidet sich von der zugrunde liegenden physischen Netzwerkarchitektur in Ihrem Rechenzentrum.
- Statisches IP-Netzwerk: Das virtuelle Netzwerk weist statische IP-Adressen dem Kubernetes-Cluster-API-Server, Kubernetes-Knoten, zugrunde liegenden VMs, Lastenausgleichsmodulen und allen Kubernetes-Diensten zu, die Sie über Ihrem Cluster ausführen.
- DHCP-Netzwerk: Das virtuelle Netzwerk weist dynamische IP-Adressen den Kubernetes-Knoten, zugrunde liegenden VMs und Lastenausgleichsmodulen mit einem DHCP-Server zu. Dem API-Server des Kubernetes-Clusters und allen Kubernetes-Diensten, die Sie auf der Grundlage Ihres Clusters ausführen, werden immer noch statische IP-Adressen zugeordnet.
Mindestens zu reservierende IP-Adressen
Sie sollten mindestens die folgende Anzahl von IP-Adressen für Ihre Bereitstellung reservieren:
Clustertyp | Knoten der Steuerungsebene | Workerknoten | Für Aktualisierungsvorgänge | Load Balancer |
---|---|---|---|---|
AKS-Host | 1 IP-Adresse | Nicht verfügbar | 2 IP-Adressen | Nicht verfügbar |
Workloadcluster | 1 IP-Adresse pro Knoten | 1 IP-Adresse pro Knoten | 5 IP-Adressen | 1 IP-Adresse |
Zusätzlich sollten Sie die folgende Anzahl von IP-Adressen für Ihren VIP-Pool reservieren:
Ressourcentyp | Anzahl von IP-Adressen |
---|---|
Cluster-API-Server | 1 pro Cluster |
Kubernetes-Dienste | 1 pro Dienst |
Wie Sie sehen können, ist die Anzahl der erforderlichen IP-Adressen abhängig von der AKS-Architektur und der Anzahl der Dienste, die Sie auf Ihrem Kubernetes-Cluster ausführen, variabel. Es wird empfohlen, für Ihre Bereitstellung insgesamt 256 IP-Adressen (/24-Subnetz) zu reservieren.
Weitere Informationen zu Netzwerkanforderungen finden Sie unter Knotennetzwerkkonzepte in AKS und Containernetzwerkkonzepten in AKS.
Anforderungen an Netzwerkport und URL
Von Arc-Anforderungen aktivierte AKS
Beim Erstellen eines Kubernetes-Clusters auf Azure Local werden die folgenden Firewallports automatisch auf jedem Server im Cluster geöffnet.
Wenn sich die lokalen physischen Azure-Clusterknoten und die VMs des Azure Kubernetes-Clusters auf zwei isolierten VLANs befinden, müssen diese Ports in der Firewall zwischen ihnen geöffnet werden:
Port | Quelle | Beschreibung | Hinweise zur Firewall |
---|---|---|---|
22 | AKS-VMs | Erforderlich zum Sammeln von Protokollen bei Verwendung Get-AksHciLogs . |
Wenn Sie separate VLANs verwenden, müssen die physischen Hyper-V-Hosts auf die AKS-VMs auf diesem Port zugreifen. |
6443 | AKS-VMs | Erforderlich für die Kommunikation mit Kubernetes-APIs. | Wenn Sie separate VLANs verwenden, müssen die physischen Hyper-V-Hosts auf die AKS-VMs auf diesem Port zugreifen. |
45000 | Physische Hyper-V-Hosts | wssdAgent gRPC-Server. | Es sind keine VLAN-übergreifenden Regeln erforderlich. |
45001 | Physische Hyper-V-Hosts | wssdAgent gRPC-Authentifizierung. | Es sind keine VLAN-übergreifenden Regeln erforderlich. |
46000 | AKS-VMs | wssdCloudAgent zu lbagent. | Wenn Sie separate VLANs verwenden, müssen die physischen Hyper-V-Hosts auf die AKS-VMs auf diesem Port zugreifen. |
55000 | Clusterressource (-CloudServiceCIDR) | Cloud Agent gRPC-Server. | Wenn Sie separate VLANs verwenden, müssen die AKS-VMs auf die IP-Adresse der Clusterressource auf diesem Port zugreifen. |
65000 | Clusterressource (-CloudServiceCIDR) | Cloud Agent gRPC-Authentifizierung. | Wenn Sie separate VLANs verwenden, müssen die AKS-VMs auf die IP-Adresse der Clusterressource auf diesem Port zugreifen. |
Wenn Ihr Netzwerk die Verwendung eines Proxyservers zum Herstellen einer Internetverbindung erfordert, lesen Sie die Verwendung der Proxyservereinstellungen auf AKS.
Die folgenden URLs müssen Ihrer Zulassungsliste hinzugefügt werden:
URL | Port | Hinweise |
---|---|---|
msk8s.api.cdp.microsoft.com | 443 | Wird beim Herunterladen der AKS im lokalen Azure-Produktkatalog, Produktbits und Betriebssystemimages von SFS verwendet. Tritt auf, wenn Sie ausgeführt Set-AksHciConfig werden, und jedes Mal, wenn Sie von SFS heruntergeladen werden. |
msk8s.b.tlu.dl.delivery.mp.microsoft.com msk8s.f.tlu.dl.delivery.mp.microsoft.com |
80 | Wird beim Herunterladen der AKS im lokalen Azure-Produktkatalog, Produktbits und Betriebssystemimages von SFS verwendet. Tritt auf, wenn Sie ausgeführt Set-AksHciConfig werden, und jedes Mal, wenn Sie von SFS heruntergeladen werden. |
login.microsoftonline.com login.windows.net management.azure.com msft.sts.microsoft.com graph.windows.net |
443 | Wird für die Anmeldung bei Azure verwendet, wenn ausgeführt Set-AksHciRegistration wird. |
ecpacr.azurecr.io mcr.microsoft.com *.mcr.microsoft.com *.data.mcr.microsoft.com *.blob.core.windows.net US-Endpunkt: wus2replica*.blob.core.windows.net |
443 | Erforderlich zum Pullen von Containerimages, wenn Install-AksHci ausgeführt wird. |
<region.dp.kubernetesconfiguration.azure.com> | 443 | Erforderlich für das Onboarding von AKS-Hybridclustern in Azure Arc. |
gbl.his.arc.azure.com | 443 | Erforderlich, um den regionalen Endpunkt zum Abrufen von Zertifikaten systemseitig zugewiesener verwalteter Identitäten per Pull zu erhalten. |
*.his.arc.azure.com | 443 | Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten. |
k8connecthelm.azureedge.net | 443 | Arc-fähige Kubernetes verwendet Helm 3 zum Bereitstellen von Azure Arc-Agents auf dem AKS im lokalen Azure-Verwaltungscluster. Dieser Endpunkt wird für den Helm-Clientdownload benötigt, um die Bereitstellung des Agent-Helmdiagramms zu erleichtern. |
*.arc.azure.net | 443 | Erforderlich zum Verwalten von AKS-Hybridclustern in Azure-Portal. |
dl.k8s.io | 443 | Erforderlich zum Herunterladen und Aktualisieren von Kubernetes-Binärdateien für Azure Arc. |
akshci.azurefd.net | 443 | Erforderlich für AKS bei der lokalen Azure-Abrechnung beim Ausführen Install-AksHci . |
v20.events.data.microsoft.com gcs.prod.monitoring.core.windows.net |
443 | Wird in regelmäßigen Abständen verwendet, um microsoft erforderliche Diagnosedaten vom lokalen Azure- oder Windows Server-Host zu senden. |
Hinweis
Von Arc aktivierte AKS speichert und verarbeitet Kundendaten. Standardmäßig verbleiben Kundendaten innerhalb der Region, in der der Kunde die Dienstinstanz bereitstellt. Diese Daten werden in regionalen von Microsoft betriebenen Rechenzentren gespeichert. Für Regionen mit Datenhaltungsanforderungen werden Kundendaten immer innerhalb derselben Region aufbewahrt.
Zusätzliche URL-Anforderungen für Azure Arc-Features
In der vorherigen URL-Liste werden die mindestens erforderlichen URLs behandelt, die Sie für die Verbindung Ihres AKS-Diensts mit Azure für die Abrechnung herstellen können. Sie müssen zusätzliche URLs zulassen, wenn Sie Clusterverbindungen, benutzerdefinierte Speicherorte, Azure RBAC und andere Azure-Dienste wie Azure Monitor usw. auf Ihrem AKS-Workloadcluster verwenden möchten. Eine vollständige Liste der Arc-URLs finden Sie unter Azure Arc-fähige Kubernetes-Netzwerkanforderungen.
Sie sollten auch Azure Local-URLs überprüfen. Da Arc für Server-Agenten jetzt standardmäßig auf Azure Local-Knoten ab Azure Local 21H2 und höher installiert ist, sollten Sie auch die Arc für Server-Agents-URLs überprüfen.
Gestreckte Cluster in AKS
Wie in der Übersicht über Stretched Cluster beschrieben, wird die Bereitstellung von AKS auf Azure Local und Windows Server mithilfe von Stretched Windows-Clustern nicht unterstützt. Es wird empfohlen, einen Sicherungs- und Notfallwiederherstellungsansatz für die Betriebskontinuität Ihres Rechenzentrums zu verwenden. Weitere Informationen finden Sie unter Durchführen der Workload-Cluster-Sicherung oder Wiederherstellung mit Velero und Azure Blob Storage auf Azure Local und Windows Server und Bereitstellen von Konfigurationen auf AksHci mit GitOps mit Flux v2 für Anwendungskontinuität.
Anforderungen für Windows Admin Center
Windows Admin Center ist die Benutzeroberfläche zum Erstellen und Verwalten von AKS, die von Azure Arc aktiviert sind. Um Windows Admin Center mit AKS auf Azure Local und Windows Server zu verwenden, müssen Sie alle Kriterien in der folgenden Liste erfüllen.
Dies sind die Anforderungen für den Computer, auf dem das Windows Admin Center-Gateway ausgeführt wird:
- Windows 10 oder Windows Server.
- Registriert bei Azure.
- In derselben Domäne wie der Azure Local- oder Windows Server Datacenter-Cluster.
- Ein Azure-Abonnement, für das Sie über Besitzerrechte verfügen. Sie können Ihre Zugriffsebene überprüfen, indem Sie zu Ihrem Abonnement navigieren und access control (IAM) auf der linken Seite der Azure-Portal auswählen und dann "Meinen Zugriff anzeigen" auswählen.
Anforderungen für Azure
Sie müssen eine Verbindung mit Ihrem Azure-Konto herstellen.
Azure-Konto und -Abonnement
Wenn Sie noch kein Azure-Konto besitzen, erstellen Sie eins. Sie können ein vorhandenes Abonnement beliebigen Typs verwenden:
- Kostenloses Konto mit Azure-Gutschriften für Studierende oder Visual Studio-Abonnenten.
- Abonnement mit nutzungsbasierter Bezahlung per Kreditkarte.
- Durch einen Konzernvertrag (Enterprise Agreement, EA) erworbenes Abonnement.
- Durch das CSP-Programm (Cloud Solution Provider, Cloudlösungsanbieter) erworbenes Abonnement.
Microsoft Entra-Berechtigungen, Rollen- und Zugriffsebene
Sie müssen über ausreichende Berechtigungen verfügen, um eine Anwendung bei Ihrem Microsoft Entra-Mandanten registrieren zu können.
So überprüfen Sie, ob Sie über ausreichende Berechtigungen verfügen:
- Wechseln Sie zum Azure-Portal, und wählen Sie "Rollen und Administratoren" unter der Microsoft Entra-ID aus, um Ihre Rolle zu überprüfen.
- Lautet Ihre Rolle Benutzer, müssen Sie sich vergewissern, dass zum Registrieren von Anwendungen keine Administratorrechte benötigt werden.
- Um zu überprüfen, ob Sie Anwendungen registrieren können, wechseln Sie unter dem Microsoft Entra-Dienst zu "Benutzereinstellungen ", um zu überprüfen, ob Sie über die Berechtigung zum Registrieren einer Anwendung verfügen.
Wenn die Einstellung für die App-Registrierung auf "Nein" festgelegt ist, können nur Benutzer mit einer Administratorrolle diese Arten von Anwendungen registrieren. Informationen zu den verfügbaren Administratorrollen und den spezifischen Berechtigungen in der Microsoft Entra-ID, die jeder Rolle zugewiesen werden, finden Sie in den integrierten Microsoft Entra-Rollen. Falls Ihrem Konto die Rolle Benutzer zugewiesen ist, die App-Registrierungseinstellung jedoch auf Administratorbenutzer beschränkt ist, bitten Sie Ihren Administrator, Ihnen entweder eine Administratorrolle zuzuweisen, mit der App-Registrierungen erstellt und sämtliche Aspekte von App-Registrierungen verwaltet werden können, oder Benutzern das Registrieren von Apps zu ermöglichen.
Wenn Sie nicht über ausreichende Berechtigungen zum Registrieren einer Anwendung verfügen und Ihr Administrator Ihnen diese Berechtigungen nicht erteilen kann, besteht die einfachste Möglichkeit zum Bereitstellen von AKS darin, Ihren Azure-Administrator aufzufordern, einen Dienstprinzipal mit den richtigen Berechtigungen zu erstellen. Im nächsten Abschnitt erfahren Administratoren, wie sie einen Dienstprinzipal erstellen.
Azure-Abonnementrolle und Zugriffsebene
Navigieren Sie zum Überprüfen Ihrer Zugriffsebene zu Ihrem Abonnement, wählen Sie auf der linken Seite des Azure-Portals die Option Zugriffssteuerung (IAM) aus, und wählen Sie anschließend Meinen Zugriff anzeigen aus.
- Wenn Sie Windows Admin Center zum Bereitstellen eines AKS-Hosts oder eines AKS-Workloadclusters verwenden, müssen Sie über ein Azure-Abonnement verfügen, für das Sie ein Besitzer sind.
- Wenn Sie PowerShell zum Bereitstellen eines AKS-Hosts oder eines AKS-Workloadclusters verwenden, muss der Benutzer, der den Cluster registriert, mindestens über einen der folgenden Komponenten verfügen:
- Ein Benutzerkonto mit der integrierten Rolle Besitzer.
- Ein Dienstprinzipal mit einer der folgenden Zugriffsebenen:
- Die integrierte Rolle "Mitwirkender" .
- Die integrierte Besitzerrolle .
Wenn Ihr Azure-Abonnement über einen EA oder CSP verfügt, besteht die einfachste Möglichkeit zum Bereitstellen von AKS darin, Ihren Azure-Administrator aufzufordern, einen Dienstprinzipal mit den richtigen Berechtigungen zu erstellen. Administratoren können den folgenden Abschnitt zum Erstellen eines Dienstprinzipals überprüfen.
Optional: Erstellen eines neuen Dienstprinzipals
Führen Sie die folgenden Schritte aus, um einen neuen Dienstprinzipal mit der integrierten Besitzerrolle zu erstellen. Dienstprinzipale mit der richtigen Rollenzuweisung können nur von Abonnementbesitzern erstellt werden. Sie können Ihre Zugriffsebene überprüfen, indem Sie zu Ihrem Abonnement navigieren, auf der linken Seite der Azure-Portal die Zugriffssteuerung (ACCESS Control, IAM) auswählen und dann auf "Meinen Zugriff anzeigen" auswählen.
Legen Sie die folgenden PowerShell-Variablen in einem PowerShell-Administratorfenster fest. Stellen Sie sicher, dass das Abonnement und der Mandant ihre AKS-Host für die Abrechnung registrieren möchten:
$subscriptionID = "<Your Azure subscrption ID>"
$tenantID = "<Your Azure tenant ID>"
Installieren und Importieren des AKS PowerShell-Moduls:
Install-Module -Name AksHci
Melden Sie sich bei Azure mithilfe des PowerShell-Befehls Connect-AzAccount an:
Connect-AzAccount -tenant $tenantID
Legen Sie das Abonnement fest, mit dem Sie Ihren AKS-Host für die Abrechnung als Standardabonnement registrieren möchten, indem Sie den Befehl "Set-AzContext " ausführen:
Set-AzContext -Subscription $subscriptionID
Vergewissern Sie sich durch Ausführen des PowerShell-Befehls Get-AzContext, dass Ihr Anmeldekontext korrekt ist. Stellen Sie sicher, dass das Abonnement, der Mandant und das Konto das sind, was Sie zum Registrieren Ihres AKS-Hosts für die Abrechnung verwenden möchten:
Get-AzContext
Name Account SubscriptionName Environment TenantId
---- ------- ---------------- ----------- --------
myAzureSubscription (92391anf-... user@contoso.com myAzureSubscription AzureCloud xxxxxx-xxxx-xxxx-xxxxxx
Erstellen Sie einen Dienstprinzipal, indem Sie den PowerShell-Befehl New-AzADServicePrincipal ausführen. Mit diesem Befehl wird ein Dienstprinzipal mit der Rolle "Besitzer " erstellt und der Bereich auf Abonnementebene festgelegt. Weitere Informationen zum Erstellen von Dienstprinzipalen finden Sie unter Erstellen eines Azure-Dienstprinzipals mit Azure PowerShell.
$sp = New-AzADServicePrincipal -role "Owner" -scope /subscriptions/$subscriptionID
Rufen Sie das Kennwort für den Dienstprinzipal ab, indem Sie den folgenden Befehl ausführen. Beachten Sie, dass dieser Befehl nur für Az.Accounts 2.6.0 oder darunter funktioniert. Das Az.Accounts 2.6.0-Modul wird automatisch heruntergeladen, wenn Sie das AksHci PowerShell-Modul installieren:
$secret = $sp.PasswordCredentials[0].SecretText
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"
Aus der vorherigen Ausgabe haben Sie nun die Anwendungs-ID und den geheimen Schlüssel beim Bereitstellen von AKS zur Verfügung. Sie sollten diese Elemente notieren und sicher speichern. Nachdem sie in der Azure-Portal unter "Abonnements", "Zugriffssteuerung" und dann "Rollenzuweisungen" erstellt wurde, sollte der neue Dienstprinzipal angezeigt werden.
Azure-Ressourcengruppe
Sie müssen vor der Registrierung eine Azure-Ressourcengruppe in der Azure-Region „Australien, Osten“, „USA, Osten“, „Asien, Südosten“ oder „Europa, Westen“ zur Verfügung stellen.
Azure-Regionen
Warnung
AKS Arc unterstützt derzeit die Clustererstellung ausschließlich innerhalb der folgenden angegebenen Azure-Regionen. Wenn Sie versuchen, in einer Region außerhalb dieser Liste bereitzustellen, tritt ein Bereitstellungsfehler auf.
Der AKS Arc-Dienst wird für Registrierung, Abrechnung und Verwaltung verwendet. Sie wird derzeit in den folgenden Regionen unterstützt:
- East US
- USA Süd Mitte
- Europa, Westen
Active Directory-Anforderungen
Damit ein AKS-Failovercluster mit 2 oder mehr physischen Knoten optimal in einer Active Directory-Umgebung funktioniert, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind:
Hinweis
Active Directory ist für Azure Local- oder Windows Server-Bereitstellungen mit einem einzigen Knoten nicht erforderlich.
- Richten Sie die Zeitsynchronisierung so ein, dass die Abweichung zwischen allen Clusterknoten und dem Domänencontroller nicht mehr als zwei Minuten beträgt. Informationen zum Festlegen der Zeitsynchronisierung finden Sie unter Windows-Zeitdienst.
- Stellen Sie sicher, dass die Zum Hinzufügen von Updates verwendeten Benutzerkonten und die Verwaltung von AKS oder Windows Server Datacenter-Clustern über die richtigen Berechtigungen in Active Directory verfügen. Wenn Sie Organisationseinheiten (Organisationseinheiten, OUs) zum Verwalten von Gruppenrichtlinien für Server und Dienste verwenden, benötigen die Benutzerkonten Eine Liste, Lese-, Änderungs- und Löschberechtigungen für alle Objekte in der OE.
- Verwenden Sie eine separate Organisationseinheit (OU) für die Server und Dienste von Ihren AKS- oder Windows Server Datacenter-Clustern. Durch die Verwendung einer gesonderten Organisationseinheit können Sie den Zugriff und die Berechtigungen differenzierter steuern.
- Wenn Sie GPO-Vorlagen für Container in Active Directory verwenden, stellen Sie sicher, dass die Bereitstellung von AKS auf Azure Local und Windows Server von der Richtlinie ausgenommen ist.
Nächste Schritte
Nachdem Sie alle oben aufgeführten Voraussetzungen erfüllt haben, können Sie einen AKS-Host unter Verwendung von Azure Local einrichten: