適用于已啟用 Azure Arc 的 Kubernetes 管理和監視

本文提供管理及監視已啟用 Azure Arc 的 Kubernetes 叢集的重要設計考慮和建議，協助您瞭解並設計卓越營運解決方案。 使用本檔中提供的指引，以及在整個檔中參考的其他重要設計區域，進一步瞭解相關的設計考慮和建議。

架構

若要為您的組織建置正確的架構，以便讓內部部署或多雲端 Kubernetes 叢集上線，您必須瞭解已啟用 Azure Arc 的 Kubernetes 架構和 網路連線模式。 這項瞭解可讓您實作 Azure Arc 並管理、監視及符合貴組織的架構標準和作業預期狀態。

叢集管理

下列架構圖顯示不同的已啟用 Azure Arc 的 Kubernetes 元件，以及在組織在完全連線的網路連線模式中上線和管理內部部署或多重雲端 Kubernetes 叢集時，其互動方式。

下圖會 從任何地方建立已啟用 Azure Arc 的 Kubernetes 叢集存取 ，以及元件如何彼此互動，以使用 Azure RBAC 管理叢集。

叢集監視

下列架構圖顯示以完全連線網路連線模式監視已啟用 Azure Arc 的 Kubernetes 叢集。

設計考量

• 檢閱 Azure 登陸 區域的管理設計區域 ，以評估已啟用 Azure Arc 的 Kubernetes 對您整體管理模型的影響。

叢集上線：

• 當您設計企業級登陸區域訂用帳戶以上線和管理已啟用 Azure Arc 的 Kubernetes 叢集和延伸模組時，請考慮資源組織重要設計區域和安全性專業領域中的建議。
• 根據貴組織的變更管理程式將內部部署或多雲端 Kubernetes 叢集上線至 Azure Arc，決定 自動升級和手動升級已啟用 Azure Arc 的 Kubernetes 代理程式 。如果您稍後再重新考慮此決策，您可以在叢集上線之後，隨時變更已啟用 Azure Arc 的 Kubernetes 代理程式的自動升級管理行為。
• 請考慮將防火牆或 Proxy 管理及設計來源和目的地群組，以管理 已啟用 Azure Arc 的 Kubernetes 網路防火牆規則 。 如需詳細資訊，請參閱貴組織的內部部署或多雲端防火牆或 Proxy 管理指導方針。

叢集管理：

• 已啟用 Azure Arc 的 Kubernetes 擴充 功能需要您在防火牆或 Proxy 伺服器上允許更多 URL。 根據您安裝的擴充功能，事先規劃以容納額外的 URL，可協助您將變更管理時程表降到最低。
• 如果您將內部部署或多重雲端 Kubernetes 叢集上線，並 關閉自動升級切換，請考慮定期升級已啟用 Azure Arc 的 Kubernetes 代理程式，讓他們能隨時掌握最新的產品版本，並避免未來需要昂貴的升級程式。
• 請考慮使用 GitOps 來管理已啟用 Arc 的 Kubernetes 代理程式和叢集擴充功能更新，並在所有叢集和環境之間維持一致的部署。 如需詳細指引，請參閱使用 GitOps 和平臺專業領域的重要設計區域CI/CD 工作流程。
• 請考慮使用 已啟用 Azure Arc 的 Kubernetes 叢集連線 功能來連線到 apiserver ，而不需要在您的防火牆上啟用任何輸入埠。 若要瞭解這項功能的運作方式，請檢閱 網路連線關鍵設計區域。

叢集監視：

• 使用已啟用 Azure Arc 的 Kubernetes 檢閱並考慮支援 Azure 監視器容器深入解析 的組態。 決定 Azure 監視器容器深入解析是否符合已啟用 Azure Arc 的 Kubernetes 叢集監視需求。
• 請考慮針對每個區域使用專用的 Log Analytics 工作區，從已啟用 Azure Arc 的 Kubernetes 叢集收集記錄和計量，並監視和報告特定環境中的多個叢集。 如需詳細資訊，請參閱設計 Azure 監視器記錄部署。
• 請考慮使用 Azure 監視器 ITSM 連接器 與貴組織的 IT 服務管理工具整合，以引發 Azure 監視器警示的事件並追蹤問題解決。
• 如果您使用 半連線的網路連線模式，請考慮使用私人端點透過 Azure ExpressRoute 或 VPN 連線來連線到 Azure Log Analytics 工作區，以便從已啟用 Azure Arc 的 Kubernetes 叢集和監視器收集記錄和計量。

設計建議

叢集上線：

• 使用共用系統管理終端機伺服器 () 來安裝必要的工具 ，可讓您維護所有使用者的一致工具和版本，並防止 Azure Arc 啟用 Kubernetes 叢集的部署和管理問題。
• 請確定系統管理終端機伺服器和內部部署或多雲端 Kubernetes 叢集位於允許清單中，以存取 已啟用 Azure Arc 的 Kubernetes 必要 URL ，讓您可以使用 Azure Arc 控制平面進行上線和管理。
• 建立腳本，以驗證從內部部署或多重雲端 Kubernetes 叢集節點連線到 已啟用 Azure Arc 的 Kubernetes 必要 URL 。 此腳本可協助您將疑難排解和解決連線問題的需求降到最低。
• 使用 PowerShell 或 Bash建立上線部署腳本。 此腳本可協助您將已啟用 Arc 的 Kubernetes 叢集上線，並安裝叢集擴充功能，以防止所有環境和叢集發生問題和一致的部署。

叢集管理：

• 某些已啟用 Azure Arc 的 Kubernetes 擴充功能需要自訂位置，才能部署延伸模組 Pod 和設定。 每個 Kubernetes 命名空間只支援一個自訂位置。 您應該在自己的 Kubernetes 命名空間中建立每個自訂位置，並部署已啟用 Azure Arc 的 Kubernetes 擴充功能，以依賴相同命名空間中的自訂位置。
• 針對已上線的叢集使用完全連線的網路連線模型。 如果您必須使用 半連線的網路連線模式，您應該每隔 30 天至少將叢集連線到 Azure Arc 一次，以匯出計費資料，一次 90 天來更新受控識別憑證，並更新已啟用 Azure Arc 的 Kubernetes 資源和代理程式。
• 部署Open Service Mesh (OSM) ，以取得 mTLS 安全性、精細存取控制、流量轉移、使用 Azure 監視器監視，或使用 Prometheus 和 Grafana 的開放原始碼附加元件、使用 Jaeger 進行追蹤，以及與外部認證管理解決方案整合等功能。

叢集監視：

• 使用 已啟用 Azure Arc 的 Kubernetes 叢集的 Azure 監視器容器深入解析收集記錄和計量。 使用這些記錄和計量來建立儀表板，並產生叢集相關問題的警示。
• 從容器深入解析啟用建議的計量警示規則，以接收來自 Azure 監視器的通知。
• 使用Azure Resource Graph或Log Analytics 查詢來監視叢集健康情況並引發警示。

下圖顯示用於狀態監視的 Azure Resource Graph：

下一步

如需混合式和多重雲端雲端旅程的詳細資訊，請參閱下列文章：

• 檢閱已啟用 Azure Arc 的 Kubernetes 必要條件 。
• 檢閱已啟用 Azure Arc 的 Kubernetes 已驗證 Kubernetes 散發套件 。
• 瞭解如何 管理混合式和多重雲端環境。
• 瞭解 已啟用 Azure Arc 的 Kubernetes 網路連線需求。
• 瞭解如何將 現有的 Kubernetes 叢集連線至 Azure Arc。
• 瞭解如何 升級已啟用 Azure Arc 的 Kubernetes 代理程式。
• 瞭解如何 使用叢集連線連線到已啟用 Azure Arc 的 Kubernetes 叢集 以進行叢集管理。
• 使用 Azure Arc Jumpstart體驗已啟用 Azure Arc 的 Kubernetes 自動化案例。
• 透過 Azure Arc 學習路徑瞭解 Azure Arc。
• 請參閱 常見問題 - 已啟用 Azure Arc 以尋找最常見問題的解答。