Condividi tramite

Connettere il cluster Edge Essentials del servizio Azure Kubernetes ad Arc

  • Articolo

Questo articolo descrive come connettere il cluster Azure Kubernetes Edge Essentials ad Azure Arc in modo da poter monitorare l'integrità del cluster nel portale di Azure. Se il cluster è connesso a un proxy, è possibile usare gli script forniti nel repository GitHub per connettere il cluster ad Arc , come descritto qui.

Prerequisiti

  • Prima di connettersi ad Arc, gli amministratori dell'infrastruttura che sono il ruolo proprietario o collaboratore della sottoscrizione dovranno:
    1. Abilitare tutti i provider di risorse necessari nella sottoscrizione di Azure, ad esempio Microsoft.HybridCompute, Microsoft.GuestConfiguration, Microsoft.HybridConnectivity, Microsoft.Kubernetes, Microsoft.ExtendedLocation e Microsoft.KubernetesConfiguration.
    2. Creare e verificare un gruppo di risorse per le risorse di Azure AKS Edge Essentials.
  • Per connettersi ad Arc, gli operatori Kubernetes necessitano di un ruolo di onboarding kubernetes - Azure Arc per l'identità a livello di gruppo di risorse. Per disconnettersi da Arc, gli operatori necessitano di un ruolo ruolo collaboratore Arc servizio Azure Kubernetes per l'identità a livello di gruppo di risorse. Per controllare il livello di accesso, passare alla sottoscrizione nel portale di Azure, selezionare Controllo di accesso (IAM) sul lato sinistro e quindi selezionare Visualizza l'accesso. Per altre informazioni sulla gestione dei gruppi di risorse, vedere la documentazione di Azure. Gli amministratori dell'infrastruttura con ruoli proprietario o collaboratore possono anche eseguire azioni per connettersi o disconnettersi da Arc.
  • Oltre a questi prerequisiti, assicurarsi di soddisfare tutti i requisiti di rete per Kubernetes abilitati per Azure Arc.

Nota

È necessario il ruolo Collaboratore per poter eliminare le risorse all'interno del gruppo di risorse. I comandi da disconnettere da Arc avranno esito negativo senza questa assegnazione di ruolo.

Passaggio 1: Configurare il computer

Installare le dipendenze

Eseguire i comandi seguenti in una finestra di PowerShell con privilegi elevati per installare le dipendenze in PowerShell:

Install-Module Az.Resources -Repository PSGallery -Force -AllowClobber -ErrorAction Stop  
Install-Module Az.Accounts -Repository PSGallery -Force -AllowClobber -ErrorAction Stop 
Install-Module Az.ConnectedKubernetes -Repository PSGallery -Force -AllowClobber -ErrorAction Stop

Passaggio 2: Configurare l'ambiente Azure

Specificare i dettagli dell'abbonamento di Azure nel file aksedge-config.json nella sezione Arc come descritto nella tabella seguente. Per connettersi correttamente ad Azure usando Kubernetes abilitato per Azure Arc, è necessaria un'entità servizio con l'entità servizio predefinita Microsoft.Kubernetes connected cluster role per accedere alle risorse in Azure. Se si dispone già dell'ID e della password dell'entità servizio, è possibile aggiornare tutti i campi nel file aksedge-config.json . Se è necessario creare un'entità servizio, è possibile seguire questa procedura.

Importante

I segreti client sono una forma di password. La gestione corretta è fondamentale per la sicurezza dell'ambiente.

  • Quando si crea il segreto client, impostare una scadenza molto breve, in base all'intervallo di registrazione e all'ambito per la distribuzione.
  • Assicurarsi di proteggere il valore del segreto client e il file di configurazione dall'accesso generale.
  • Si consideri che se viene eseguito il backup del file di configurazione di un cluster mentre è archiviato il segreto client, il segreto client è disponibile per chiunque abbia accesso al backup.
  • Dopo aver registrato un cluster, rimuovere il segreto client dal file di configurazione per il cluster.
  • Dopo aver registrato tutti i cluster nell'ambito dell'attività, è necessario ruotare il segreto client e/o eliminare l'entità servizio dall'ambiente Microsoft Entra ID.
Attributo Tipo di valore Descrizione
ClusterName stringa Nome del cluster. Il valore predefinito è hostname_cluster.
Location string Posizione del gruppo di risorse. Scegliere la località più vicina alla distribuzione.
SubscriptionId GUID ID sottoscrizione personale. Nella portale di Azure selezionare la sottoscrizione in uso e copiare/incollare la stringa id sottoscrizione nel codice JSON.
TenantId GUID ID tenant. Nella portale di Azure cercare Microsoft Entra ID, che dovrebbe visualizzare la pagina Directory predefinita. Da qui è possibile copiare/incollare la stringa ID tenant nel codice JSON.
ResourceGroupName string Nome del gruppo di risorse di Azure che ospita le risorse di Azure per AKS Edge Essentials. È possibile usare un gruppo di risorse esistente oppure, se si aggiunge un nuovo nome, il sistema ne crea uno automaticamente.
ClientId GUID Specificare l'ID applicazione dell'entità servizio di Azure da usare come credenziali. AKS Edge Essentials usa questa entità servizio per connettere il cluster ad Arc. È possibile usare la pagina Registrazioni app nella pagina della risorsa Microsoft Entra del portale di Azure per elencare e gestire le entità servizio in un tenant. Tenere presente che l'entità servizio richiede il ruolo Cluster Kubernetes - Onboarding di Azure Arc a livello di sottoscrizione o gruppo di risorse. Per altre informazioni, vedere Requisiti di identità di Microsoft Entra per le entità servizio.
ClientSecret string Password per l'entità servizio.

Nota

Questa configurazione deve essere eseguita una sola volta per ogni sottoscrizione di Azure. Non è necessario ripetere la procedura per ogni cluster Kubernetes.

Passaggio 3: Connettere il cluster ad Arc

Eseguire Connect-AksEdgeArc per installare e connettere il cluster esistente a Kubernetes abilitato per Arc:

# Connect Arc-enabled kubernetes
Connect-AksEdgeArc -JsonConfigFilePath .\aksedge-config.json

Nota

Questo passaggio può richiedere fino a 10 minuti e PowerShell potrebbe rimanere bloccato per stabilire Kubernetes connesso ad Azure per your cluster name. PowerShell restituisce True l'output e torna al prompt al termine del processo.

Screenshot che mostra il prompt di PowerShell durante la connessione ad Arc.

Passaggio 4: visualizzare le risorse di Azure Kubernetes Edge Essentials in Azure

  1. Al termine del processo, è possibile visualizzare il cluster nel portale di Azure se si passa al gruppo di risorse:

    Screenshot che mostra il cluster nel portale di Azure.

  2. Nel pannello sinistro selezionare l'opzione Spazi dei nomi in Risorse Kubernetes (anteprima):

    Anteprima delle risorse kubernetes.

  3. Per visualizzare le risorse kubernetes, è necessario un token di connessione.

    Screenshot che mostra la pagina richiesta del token di connessione.

  4. È anche possibile eseguire Get-AksEdgeManagedServiceToken per recuperare il token del servizio.

    Screenshot che mostra dove incollare il token nel portale.

  5. È ora possibile visualizzare le risorse nel cluster. L'opzione Carichi di lavoro mostra i pod in esecuzione nel cluster.

    kubectl get pods --all-namespaces

    Screenshot che mostra tutti i pod in Arc.

Disconnettersi da Arc

Eseguire Disconnect-AksEdgeArc per disconnettersi da Kubernetes abilitato per Arc.

# Disconnect Arc-enabled kubernetes
Disconnect-AksEdgeArc -JsonConfigFilePath .\aksedge-config.json

Passaggi successivi