Freigeben über

Übersicht über Kubernetes-Agents mit Azure Arc-Unterstützung

Azure Arc-fähiges Kubernetes stellt eine zentralisierte, konsistente Steuerungsebene bereit, um Richtlinien, Governance und Sicherheit über Kubernetes-Cluster hinweg in verschiedenen Umgebungen zu verwalten.

Sie stellen Azure Arc-Agents auf Kubernetes-Clustern bereit, wenn Sie sie mit Azure Arc verbinden. Dieser Artikel enthält eine Übersicht über diese Agents sowie allgemeine Schritte für die Bereitstellung in Ihrem Cluster und das Verschieben verbundener Ressourcen in Azure-Regionen.

Bereitstellen von Agents in Ihrem Cluster

Die meisten lokalen Rechenzentren erzwingen strikte Netzwerkregeln, die eingehende Kommunikation in der Netzwerkgrenzenfirewall verhindern. Kubernetes mit Azure Arc-Unterstützung funktioniert mit diesen Einschränkungen, da keine eingehenden Ports in der Firewall erforderlich sind. Azure Arc-Agents erfordern ausgehende Kommunikation mit einer festgelegten Liste mit Netzwerkendpunkten.

Dieses Diagramm bietet eine Übersicht über die Azure Arc-Komponenten. Kubernetes-Cluster in lokalen Rechenzentren oder verschiedenen Clouds werden über die Azure Arc-Agenten mit Azure verbunden. Mit dieser Verbindung können Sie die Cluster in Azure mithilfe von Verwaltungstools und Azure-Diensten verwalten. Sie können auch über Offlineverwaltungstools auf die Cluster zugreifen.

Diagramm mit einer Übersicht über die Architektur der Azure Arc-fähigen Kubernetes-Agents.

Die folgenden allgemeinen Schritte sind zum Verbinden eines Kubernetes-Clusters mit Azure Arc erforderlich:

  1. Erstellen Sie ein Kubernetes-Cluster auf der von Ihnen gewünschten Infrastruktur (VMware vSphere, Amazon Web Services, Google Cloud Platform oder eine durch die Cloud Native Computing Foundation (CNCF) zertifizierte Kubernetes Distribution). Der Cluster muss bereits vorhanden sein, bevor Sie ihn mit Azure Arc verbinden.

  2. Starten Sie die Azure Arc-Registrierung für Ihren Cluster. Dieser Prozess installiert das Agent Helm-Chart auf dem Cluster. Danach initiieren die Clusterknoten eine ausgehende Kommunikation mit der Microsoft Artifact Registry und rufen die Bilder ab, die zum Erstellen der folgenden Agents im azure-arc Namespace erforderlich sind:

    Agent Beschreibung
    deployment.apps/clusteridentityoperator Kubernetes mit Azure Arc-Unterstützung unterstützt derzeit nur systemseitig zugewiesene Identitäten. clusteridentityoperator initiiert die erste ausgehende Kommunikation. Diese erste Kommunikation ruft das von anderen Agents für die Kommunikation mit Azure verwendete MSI-Zertifikat (Managed Service Identity, Verwaltete Dienstidentität) ab.
    deployment.apps/config-agent Überwacht den verbundenen Cluster in Bezug auf Ressourcen zur Verwaltung der Quellcode-Versionierung, die auf den Cluster angewendet werden. Aktualisiert den Compliancezustand.
    deployment.apps/controller-manager Ist ein Operator für Operatoren und koordiniert Interaktionen zwischen Azure Arc-Komponenten.
    deployment.apps/metrics-agent Sammelt Metriken anderer Arc-Agents, um die optimale Leistung sicherzustellen.
    deployment.apps/cluster-metadata-operator Sammelt Clustermetadaten, einschließlich Clusterversion, Knotenanzahl und Version des Azure Arc-Agents.
    deployment.apps/resource-sync-agent Synchronisiert die oben erwähnten Clustermetadaten mit Azure.
    deployment.apps/flux-logs-agent Sammelt Protokolle von den als Teil der Quellcode-Konfigurationsverwaltung bereitgestellten Flux-Operatoren.
    deployment.apps/extension-manager Installiert Erweiterungs-Helm-Diagramme und verwaltet deren Lebenszyklus.
    deployment.apps/kube-aad-proxy Wird für die Authentifizierung von Anforderungen verwendet, die mithilfe von Cluster Connect an den Cluster gesendet werden.
    deployment.apps/clusterconnect-agent Der Reverseproxy-Agent, der ermöglicht, dass das Cluster Connect-Feature Zugriff auf den apiserver des Clusters bereitstellt. Optionale Komponente, die nur dann bereitgestellt wird, wenn das Cluster Connect-Feature im Cluster aktiviert ist.
    deployment.apps/guard Authentifizierungs- und Autorisierungs-Webhook-Server, der für Microsoft Entra RBAC verwendet wird. Optionale Komponente, die nur dann bereitgestellt wird, wenn Azure RBAC im Cluster aktiviert ist.

  3. Wenn alle Azure Arc-fähigen Kubernetes-Agent-Pods im Running Zustand sind, überprüfen Sie, ob Ihr Cluster mit Azure Arc verbunden ist. Sie sollten Folgendes sehen:

    • Eine Azure Arc-fähige Kubernetes-connectedClusters-Ressource in Azure Resource Manager. Azure verfolgt diese Ressource als Projektion des kundenseitig verwalteten Kubernetes-Clusters nach, statt das eigentliche Kubernetes-Cluster selbst nachzuverfolgen.
    • Clustermetadaten (wie z. B. die Kubernetes-Version, die Agent-Version und die Anzahl der Knoten) werden in der Kubernetes-Ressource mit Azure Arc-Unterstützung als Metadaten angezeigt.

Weitere Informationen zum Bereitstellen der Agents in einem Cluster finden Sie unter Schnellstart: Verbinden eines vorhandenen Kubernetes-Clusters mit Azure Arc.

Verschieben von Kubernetes-Clustern mit Arc-Unterstützung in Azure-Regionen

Unter bestimmten Umständen sollten Sie Ihre Arc-fähigen Kubernetes-Cluster in eine andere Azure-Region verschieben. Sie können beispielsweise Features oder Dienste bereitstellen, die nur in bestimmten Regionen verfügbar sind, oder Sie müssen Regionen aufgrund interner Governanceanforderungen oder Überlegungen zur Kapazitätsplanung ändern.

Wenn Sie ein verbundenes Cluster in eine neue Region verschieben, löschen Sie die connectedClusters-Azure Resource Manager-Ressource in der Quellregion, und stellen Sie dann die Agents bereit, um die connectedClusters-Ressource in der Zielregion neu zu erstellen. Für Konfigurationen der Quellcodeverwaltung, Flux-Konfigurationen und Erweiterungen innerhalb des Clusters müssen Sie Details zu den Ressourcen speichern und dann die untergeordneten Ressourcen in der neuen Clusterressource neu erstellen.

Bevor Sie beginnen, stellen Sie sicher, dass Azure Arc-fähige Kubernetes-Ressourcen (Microsoft.Kubernetes/connectedClusters) und alle erforderlichen Azure Arc-fähigen Kubernetes-Konfigurationsressourcen (Microsoft.KubernetesConfiguration/SourceControlConfigurations, Microsoft.KubernetesConfiguration/Extensions, Microsoft.KubernetesConfiguration/FluxConfigurations) in der Zielregion unterstützt werden.

  1. Führen Sie einen LIST-Befehl aus, um alle Konfigurationsressourcen im Quellcluster (dem zu verschiebenden Cluster) abzurufen, und speichern Sie den Antworttext:

    Hinweis

    LIST/GET von Konfigurationsressourcen gibt nicht ConfigurationProtectedSettings zurück. In solchen Fällen besteht die einzige Möglichkeit darin, den ursprünglichen Anforderungstext zu speichern und ihn bei der Erstellung der Ressourcen in der neuen Region wiederzuverwenden.

  2. Löschen Sie die vorherige Arc-Bereitstellung aus dem zugrunde liegenden Kubernetes-Cluster.

  3. Mit Netzwerkzugriff auf das zugrunde liegende Kubernetes-Cluster verbinden Sie das Cluster in der neuen Region.

  4. Stellen Sie sicher, dass das verbundene Arc-Cluster in der neuen Region erfolgreich ausgeführt wird:

    1. Führen Sie az connectedk8s show -n <connected-cluster-name> -g <resource-group> aus, und stellen Sie sicher, dass der Wert connectivityStatusConnected ist.
    2. Führen Sie kubectl get deployments,pods -n azure-arc aus, um zu überprüfen, ob alle Agents erfolgreich bereitgestellt werden.

  5. Erstellen Sie unter Verwendung des gespeicherten Antworttexts alle Konfigurationsressourcen, die im LIST-Befehl aus dem Quellcluster im Zielcluster abgerufen wurden, erneut. Vergleichen Sie die Ergebnisse aus einer LISTE aller Konfigurationsressourcen im Zielcluster mit der ursprünglichen LIST-Antwort des Quellclusters, um dies zu bestätigen.

Nächste Schritte

  • Last updated on