Uw Kubernetes-cluster met Azure Arc voorbereiden

Als u een Kubernetes-cluster met Azure Arc wilt voorbereiden, hebt u het volgende nodig:

• Een Azure-abonnement met de rol Eigenaar of een combinatie van de rollen Inzender en Beheerder voor gebruikerstoegang. U kunt uw toegangsniveau controleren door naar uw abonnement te navigeren, toegangsbeheer (IAM) aan de linkerkant van Azure Portal te selecteren en vervolgens Mijn toegang weergeven te selecteren. Als u geen Azure-abonnement hebt, kunt u er gratis een maken voordat u begint.

• Een Azure-resourcegroep. Er wordt slechts één Azure IoT Operations-exemplaar per resourcegroep ondersteund. Gebruik de opdracht az group create om een nieuwe resourcegroep te maken. Zie Ondersteunde regio's voor de lijst met momenteel ondersteunde Azure-regio's.

  az group create --location <REGION> --resource-group <RESOURCE_GROUP> --subscription <SUBSCRIPTION_ID>
  

• Azure CLI versie 2.62.0 of hoger geïnstalleerd op uw clustercomputer. Gebruik az --version om uw versie te controleren en az upgrade om indien nodig bij te werken. Zie De Azure CLI installeren voor meer informatie.

• De nieuwste versie van de connectedk8s-extensie voor Azure CLI:

  az extension add --upgrade --name connectedk8s
  

• Hardware die voldoet aan de systeemvereisten:

  • Door Azure IoT Operations ondersteunde omgevingen.
  • Systeemvereisten voor Kubernetes met Azure Arc.
  • K3s-vereisten.

• Als u Azure IoT-bewerkingen gaat implementeren in een cluster met meerdere knooppunten waarvoor fouttolerantie is ingeschakeld, controleert u de hardware- en opslagvereisten in Linux voorbereiden op Edge-volumes.

Als u een Kubernetes-cluster met Azure Arc wilt voorbereiden, hebt u het volgende nodig:

• Een Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u er gratis een maken voordat u begint.

• Hardware die voldoet aan de systeemvereisten:

  • Door Azure IoT Operations ondersteunde omgevingen.
  • Systeemvereisten voor Kubernetes met Azure Arc.
  • AKS Edge Essentials-vereisten en ondersteuningsmatrix.
  • AKS Edge Essentials-netwerkrichtlijnen.

Als u een Kubernetes-cluster met Azure Arc wilt voorbereiden, hebt u het volgende nodig:

• Een Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u er gratis een maken voordat u begint.

• Een lokale Azure-server of -cluster.

• Hardware die voldoet aan de systeemvereisten:

  • Door Azure IoT Operations ondersteunde omgevingen.
  • Systeemvereisten voor Kubernetes met Azure Arc.

Als u een TKG-workloadcluster wilt voorbereiden, hebt u het volgende nodig:

• Een Azure-abonnement met de rol Eigenaar of een combinatie van de rollen Inzender en Beheerder voor gebruikerstoegang. U kunt uw toegangsniveau controleren door naar uw abonnement te navigeren, toegangsbeheer (IAM) aan de linkerkant van Azure Portal te selecteren en vervolgens Mijn toegang weergeven te selecteren. Als u geen Azure-abonnement hebt, kunt u er gratis een maken voordat u begint.

• Een Azure-resourcegroep. Er wordt slechts één Azure IoT Operations-exemplaar per resourcegroep ondersteund. Gebruik de opdracht az group create om een nieuwe resourcegroep te maken. Zie Ondersteunde regio's voor de lijst met momenteel ondersteunde Azure-regio's.

  az group create --location <REGION> --resource-group <RESOURCE_GROUP> --subscription <SUBSCRIPTION_ID>
  

• Azure CLI versie 2.62.0 of hoger geïnstalleerd op uw clustercomputer. Gebruik az --version om uw versie te controleren en az upgrade om indien nodig bij te werken. Zie De Azure CLI installeren voor meer informatie.

• De nieuwste versie van de connectedk8s-extensie voor Azure CLI:

  az extension add --upgrade --name connectedk8s
  

• TKG met een zelfstandig beheercluster.

• Hardware die voldoet aan de systeemvereisten:

  • Door Azure IoT Operations ondersteunde omgevingen.

  • Systeemvereisten voor Kubernetes met Azure Arc.

  • Vereisten voor zelfstandige TKG-beheerclusters.

Een K3s Kubernetes-cluster voorbereiden op Ubuntu:

1. Maak een K3s-cluster met één knooppunt of meerdere knooppunten. Zie de K3s-snelstartgids of K3s-gerelateerde projecten voor voorbeelden.

2. Controleer of kubectl is geïnstalleerd als onderdeel van K3s. Zo niet, volg dan de instructies voor het installeren van kubectl in Linux.

   kubectl version --client
   

3. Volg de instructies om Helm te installeren.

4. Maak een YAML-bestand voor K3s-configuratie in .kube/config:

   mkdir ~/.kube
   sudo KUBECONFIG=~/.kube/config:/etc/rancher/k3s/k3s.yaml kubectl config view --flatten > ~/.kube/merged
   mv ~/.kube/merged ~/.kube/config
   chmod  0600 ~/.kube/config
   export KUBECONFIG=~/.kube/config
   #switch to k3s context
   kubectl config use-context default
   sudo chmod 644 /etc/rancher/k3s/k3s.yaml
   

5. Voer de volgende opdracht uit om de limieten voor gebruikerstoezicht of instanties te verhogen.

   echo fs.inotify.max_user_instances=8192 | sudo tee -a /etc/sysctl.conf
   echo fs.inotify.max_user_watches=524288 | sudo tee -a /etc/sysctl.conf
   
   sudo sysctl -p
   

6. Voor betere prestaties verhoogt u de limiet voor bestandsdescriptor:

   echo fs.file-max = 100000 | sudo tee -a /etc/sysctl.conf
   
   sudo sysctl -p
   

Uw cluster inschakelen met Arc

Verbind uw cluster met Azure Arc, zodat het extern kan worden beheerd.

1. Meld u vanaf een computer die toegang heeft kubectl tot uw cluster aan bij Azure CLI met uw Microsoft Entra-gebruikersaccount met de vereiste rollen voor het Azure-abonnement:

   az login
   

   Als u op enig moment een foutmelding krijgt met de mededeling dat uw apparaat moet worden beheerd voor toegang tot uw resource, voert az login u deze opnieuw uit en zorgt u ervoor dat u zich interactief aanmeldt met een browser.

2. Nadat u zich hebt aangemeld, worden in de Azure CLI al uw abonnementen weergegeven en wordt uw standaardabonnement aangegeven met een sterretje *. Als u wilt doorgaan met uw standaardabonnement, selecteert u Enter. Typ anders het nummer van het Azure-abonnement dat u wilt gebruiken.

3. Registreer de vereiste resourceproviders in uw abonnement.

   Opmerking

   Deze stap hoeft slechts één keer per abonnement te worden uitgevoerd. Als u resourceproviders wilt registreren, moet u gemachtigd zijn om de /register/action bewerking uit te voeren, die is opgenomen in de rollen Inzender en Eigenaar van het abonnement. Zie Azure-resourceproviders en -typen voor meer informatie.

   az provider register -n "Microsoft.ExtendedLocation"
   az provider register -n "Microsoft.Kubernetes"
   az provider register -n "Microsoft.KubernetesConfiguration"
   az provider register -n "Microsoft.IoTOperations"
   az provider register -n "Microsoft.DeviceRegistry"
   az provider register -n "Microsoft.SecretSyncController"
   

4. Gebruik de opdracht az connectedk8s connect om uw Kubernetes-cluster Arc-gereed te maken en het als onderdeel van uw Azure-resourcengroep te beheren.

   az connectedk8s connect --name <CLUSTER_NAME> -l <REGION> --resource-group <RESOURCE_GROUP> --subscription <SUBSCRIPTION_ID> --enable-oidc-issuer --enable-workload-identity --disable-auto-upgrade
   

   Als u niet-geplande updates voor Azure Arc en de systeem-Arc-extensies die Door Azure IoT Operations als afhankelijkheden worden gebruikt, wilt voorkomen, wordt met deze opdracht automatischupgrade uitgeschakeld. In plaats daarvan moet u agents handmatig bijwerken als dat nodig is.

   Belangrijk

   Als uw omgeving gebruikmaakt van een proxyserver of Azure Arc Gateway, wijzigt u de az connectedk8s connect opdracht met uw proxygegevens:

   1. Volg de instructies in Verbinding maken met behulp van een uitgaande proxyserver of Kubernetes-clusters onboarden naar Azure Arc met Azure Arc Gateway.
   2. Toevoegen 169.254.169.254 aan de --proxy-skip-range parameter van de az connectedk8s connect opdracht. Azure Device Registry gebruikt dit lokale eindpunt om toegangstokens op te halen voor autorisatie.

   Azure IoT Operations biedt geen ondersteuning voor proxyservers waarvoor een vertrouwd certificaat is vereist.

5. Haal de URL van de uitgever van het cluster op.

   az connectedk8s show --resource-group <RESOURCE_GROUP> --name <CLUSTER_NAME> --query oidcIssuerProfile.issuerUrl --output tsv
   

   Sla de uitvoer van deze opdracht op voor gebruik in de volgende stappen.

6. Maak een k3s-configuratiebestand.

   sudo nano /etc/rancher/k3s/config.yaml
   

7. Voeg de volgende inhoud toe aan het config.yaml bestand, waarbij u de tijdelijke aanduiding vervangt door de <SERVICE_ACCOUNT_ISSUER> URL van de verlener van uw cluster.

   kube-apiserver-arg:
    - service-account-issuer=<SERVICE_ACCOUNT_ISSUER>
    - service-account-max-token-expiration=24h
   

8. Sla het bestand op en sluit de nano-editor af.

9. Bereid u voor op het inschakelen van de Azure Arc-service, aangepaste locatie, op uw Arc-cluster door de id van het aangepaste locatieobject op te halen en op te slaan als de omgevingsvariabele, OBJECT_ID. U moet zijn aangemeld bij Azure CLI met een Microsoft Entra-gebruikersaccount om de opdracht uit te voeren, niet een service-principal. Voer de volgende opdracht precies uit zoals geschreven, zonder de GUID-waarde te wijzigen.

   export OBJECT_ID=$(az ad sp show --id bc313c14-388c-4e7d-a58e-70017303ee3b --query id -o tsv)
   

   Opmerking

   Als u de foutmelding krijgt: 'Kan de OID van de app "custom-locations" niet ophalen.' Doorgaan zonder de functie in te schakelen. Er zijn onvoldoende bevoegdheden om de bewerking te voltooien. Uw service-principal beschikt mogelijk niet over de benodigde machtigingen om de object-id van de aangepaste locatie op te halen. Meld u aan bij Azure CLI met een Microsoft Entra-gebruikersaccount dat voldoet aan de vereisten. Zie Aangepaste locaties maken en beheren voor meer informatie.

10. Gebruik de opdracht az connectedk8s enable-features om de functie voor aangepaste locatie in uw Arc-cluster in te schakelen. Deze opdracht maakt gebruik van de omgevingsvariabele OBJECT_ID die is opgeslagen in de vorige stap om de waarde voor de parameter custom-locations-oid in te stellen. Voer deze opdracht uit op de computer waarop u het Kubernetes-cluster hebt geïmplementeerd:

    az connectedk8s enable-features -n <CLUSTER_NAME> -g <RESOURCE_GROUP> --custom-locations-oid $OBJECT_ID --features cluster-connect custom-locations
    

11. Start K3s opnieuw op.

    systemctl restart k3s
    

Clusters met meerdere knooppunten configureren voor Azure Container Storage

Op Ubuntu-clusters met meerdere knooppunten met ten minste drie knooppunten kunt u fouttolerantie inschakelen voor opslag met Azure Container Storage ingeschakeld door Azure Arc wanneer u Azure IoT Operations implementeert.

Als u fouttolerantie wilt inschakelen tijdens de implementatie, configureert u uw clusters door de stappen in Linux voorbereiden voor Edge-volumes te volgen met behulp van een Ubuntu-cluster met meerdere knooppunten.

Als u uw cluster uitvoert op een Andere Kubernetes-distributie dan k3s, raadpleegt u de richtlijnen voor het voorbereiden van Linux met andere platforms.

Azure Kubernetes Service Edge Essentials is een on-premises Kubernetes-implementatie van Azure Kubernetes Service (AKS) die het uitvoeren van containertoepassingen op schaal automatiseert. AKS Edge Essentials bevat een Door Microsoft ondersteund Kubernetes-platform met een lichtgewicht Kubernetes-distributie met een kleine footprint en een eenvoudige installatie-ervaring die ondersteuning biedt voor pc-klasse of 'light' edge-hardware.

Het AksEdgeQuickStartForAio.ps1-script automatiseert het proces van het maken en verbinden van een cluster en is het aanbevolen pad voor het implementeren van Azure IoT-bewerkingen op AKS Edge Essentials.

Zie Een AKS Edge Essentials-cluster configureren voor Azure IoT-bewerkingen voor instructies over het uitvoeren van het script.

• Zie Kubernetes-clusters maken met behulp van Azure CLI voor instructies voor het maken en inschakelen van een AKS-cluster in Azure Local.
• Zie Workloadidentiteit implementeren en configureren op een AKS-cluster voor instructies over het implementeren van een AKS-cluster op Azure Local met workloadidentiteit (preview) ingeschakeld voor verbeterde beveiliging. De functie voor workloadidentiteit kan alleen worden ingeschakeld tijdens het maken van het cluster. Voor het uitvoeren van Azure IoT-bewerkingen met beveiligde instellingen is de workloadidentiteit vereist.

Standaard wordt een Kubernetes-cluster gemaakt met een knooppuntgroep waarop Linux-containers kunnen worden uitgevoerd. Als u na het maken meer knooppuntgroepen toevoegt, controleert u of het besturingssysteem is ingesteld op Linux. Azure IoT Operations biedt geen ondersteuning voor implementatie naar Windows-knooppunten.

Zodra u een Kubernetes-cluster met Azure Arc hebt, kunt u Azure IoT Operations implementeren.

Als u een TKG-workloadcluster wilt voorbereiden, hebt u het volgende nodig:

• Een TKG-workloadcluster met één knooppunt of meerdere knooppunten. Zie de Tanzu-documentatie voor hulp.

Pod veiligheids toegangsinstellingen bijwerken

Voordat u Azure IoT-bewerkingen implementeert, moet u de podbeveiligingsinstellingen op uw TKG-cluster bijwerken. Als u dit bestand toepast, worden vooraf naamruimtelabels gemaakt en wordt podbeveiliging ingesteld op privileged.

kubectl apply -f https://raw.githubusercontent.com/Azure-Samples/explore-iot-operations/main/samples/tanzu-config/psa.yaml

Uw cluster inschakelen met Arc

Verbind uw cluster met Azure Arc, zodat het extern kan worden beheerd.

1. Meld u op de computer waarop u het Kubernetes-cluster hebt geïmplementeerd aan bij Azure CLI met uw Microsoft Entra-gebruikersaccount met de vereiste rollen voor het Azure-abonnement:

   az login
   

2. Nadat u zich hebt aangemeld, worden in de Azure CLI al uw abonnementen weergegeven en wordt uw standaardabonnement aangegeven met een sterretje *. Als u wilt doorgaan met uw standaardabonnement, selecteert u Enter. Typ anders het nummer van het Azure-abonnement dat u wilt gebruiken.

3. Registreer de vereiste resourceproviders in uw abonnement.

   Opmerking

   Deze stap hoeft slechts één keer per abonnement te worden uitgevoerd. Als u resourceproviders wilt registreren, moet u gemachtigd zijn om de /register/action bewerking uit te voeren, die is opgenomen in de rollen Inzender en Eigenaar van het abonnement. Zie Azure-resourceproviders en -typen voor meer informatie.

   az provider register -n "Microsoft.ExtendedLocation"
   az provider register -n "Microsoft.Kubernetes"
   az provider register -n "Microsoft.KubernetesConfiguration"
   az provider register -n "Microsoft.IoTOperations"
   az provider register -n "Microsoft.DeviceRegistry"
   az provider register -n "Microsoft.SecretSyncController"
   

4. Gebruik de opdracht az connectedk8s connect om uw Kubernetes-cluster Arc-gereed te maken en het als onderdeel van uw Azure-resourcengroep te beheren.

   az connectedk8s connect --name <CLUSTER_NAME> -l <REGION> --resource-group <RESOURCE_GROUP> --subscription <SUBSCRIPTION_ID> --enable-oidc-issuer --enable-workload-identity --disable-auto-upgrade
   

   Als u niet-geplande updates voor Azure Arc en de systeem-Arc-extensies die Door Azure IoT Operations als afhankelijkheden worden gebruikt, wilt voorkomen, wordt met deze opdracht automatischupgrade uitgeschakeld. In plaats daarvan moet u agents handmatig bijwerken als dat nodig is.

   Belangrijk

   Als uw omgeving gebruikmaakt van een proxyserver of Azure Arc Gateway, wijzigt u de az connectedk8s connect opdracht met uw proxygegevens:

   1. Volg de instructies in Verbinding maken met behulp van een uitgaande proxyserver of Kubernetes-clusters onboarden naar Azure Arc met Azure Arc Gateway.
   2. Toevoegen 169.254.169.254 aan de --proxy-skip-range parameter van de az connectedk8s connect opdracht. Azure Device Registry gebruikt dit lokale eindpunt om toegangstokens op te halen voor autorisatie.

   Azure IoT Operations biedt geen ondersteuning voor proxyservers waarvoor een vertrouwd certificaat is vereist.

5. Haal de URL van de uitgever van het cluster op.

   az connectedk8s show --resource-group <RESOURCE_GROUP> --name <CLUSTER_NAME> --query oidcIssuerProfile.issuerUrl --output tsv
   

Sla de uitvoer van deze opdracht op voor gebruik in de volgende stappen.

1. Maak verbinding met het TKG-beheercluster. Bewerk de aangepaste resource voor de workload cluster met de URL van de uitgever uit de vorige stap.

   kubectl edit cluster <CLUSTER_NAME> 
   

2. Voeg de volgende inhoud toe aan het config.yaml bestand, waarbij u de tijdelijke aanduiding OIDC_ISSUER_URL< vervangt door de >URL van de verlener van uw cluster.

   Opmerking

   De URL moet exact worden gekopieerd zoals deze door de voorgaande opdracht is afgedrukt, inclusief tekens zoals /.

   - name: apiServerExtraArgs
     value: {"service-account-issuer":"<OIDC_ISSUER_URL>"}
   

3. Bereid u voor op het inschakelen van de Azure Arc-service, aangepaste locatie, op uw Arc-cluster door de id van het aangepaste locatieobject op te halen en op te slaan als de omgevingsvariabele, OBJECT_ID. U moet zijn aangemeld bij Azure CLI met een Microsoft Entra-gebruikersaccount om de opdracht uit te voeren, niet een service-principal. Voer de volgende opdracht precies uit zoals geschreven, zonder de GUID-waarde te wijzigen.

   export OBJECT_ID=$(az ad sp show --id bc313c14-388c-4e7d-a58e-70017303ee3b --query id -o tsv)
   

   Opmerking

   Als u de foutmelding krijgt: 'Kan de OID van de app "custom-locations" niet ophalen.' Doorgaan zonder de functie in te schakelen. Er zijn onvoldoende bevoegdheden om de bewerking te voltooien. Uw service-principal beschikt mogelijk niet over de benodigde machtigingen om de object-id van de aangepaste locatie op te halen. Meld u aan bij Azure CLI met een Microsoft Entra-gebruikersaccount dat voldoet aan de vereisten. Zie Aangepaste locaties maken en beheren voor meer informatie.

4. Gebruik de opdracht az connectedk8s enable-features om de functie voor aangepaste locatie in uw Arc-cluster in te schakelen. Deze opdracht maakt gebruik van de omgevingsvariabele OBJECT_ID die is opgeslagen in de vorige stap om de waarde voor de parameter custom-locations-oid in te stellen. Voer deze opdracht uit op de computer waarop u het Kubernetes-cluster hebt geïmplementeerd:

   az connectedk8s enable-features -n <CLUSTER_NAME> -g <RESOURCE_GROUP> --custom-locations-oid $OBJECT_ID --features cluster-connect custom-locations