Руководство по созданию кластера в Службе Kubernetes в Azure (AKS)

Статья
2025-04-07

Kubernetes предоставляет распределенную платформу для контейнерных приложений. С помощью Служба Azure Kubernetes (AKS) можно быстро создать готовый к работе кластер Kubernetes.

В этом руководстве описано, как развернуть кластер Kubernetes в AKS. Вы узнаете, как:

Разверните кластер AKS, который может аутентифицироваться с Реестром контейнеров Azure (ACR).
Установите интерфейс командной строки Kubernetes. kubectl
Настройте kubectl, чтобы подключиться к вашему кластеру AKS.

Прежде чем начать

В предыдущих руководствах вы создали образ контейнера и отправили его в экземпляр службы ACR. Начните с Учебника 1 - Подготовка приложения для AKS, чтобы следовать инструкции шаг за шагом.

Если вы используете Azure CLI, в этом руководстве требуется, чтобы вы работали с Azure CLI версии 2.35.0 или более поздней. Проверьте вашу версию с помощью az --version. Чтобы выполнить установку или обновление, см. сведения в статье Установка Azure CLI.
Если вы используете Azure PowerShell, в этом руководстве требуется, чтобы вы работали с Azure PowerShell версии 5.9.0 или более поздней. Проверьте свою версию с Get-InstalledModule -Name Az. Сведения об установке или обновлении см. в статье "Установка Azure PowerShell".
Если вы используете Интерфейс командной строки разработчика Azure, в этом руководстве требуется, чтобы вы работали с интерфейсом командной строки разработчика Azure версии 1.5.1 или более поздней. Проверьте вашу версию с azd version. Сведения об установке или обновлении см. в разделе "Установка интерфейса командной строки разработчика Azure".

Создание кластера Kubernetes

Кластеры AKS могут использовать управление доступом на основе ролей Kubernetes (Kubernetes RBAC), что позволяет определять доступ к ресурсам на основе ролей, назначенных пользователям. Если пользователю назначено несколько ролей, объединяются разрешения. Разрешения могут быть ограничены одним пространством имен или всем кластером.

Дополнительные сведения об AKS и Kubernetes RBAC см. в статье Управление доступом к ресурсам кластера с помощью RBAC Kubernetes и удостоверений Microsoft Entra в AKS.

Для этого руководства требуется Azure CLI версии 2.35.0 или более поздней. Проверьте вашу версию с az --version. Чтобы выполнить установку или обновление, см. сведения в статье Установка Azure CLI. Если вы используете среду Bash в Azure Cloud Shell, то последняя версия уже установлена.

Для работы с этим руководством требуется Azure PowerShell версии 5.9.0 или более поздней. Проверьте вашу версию с Get-InstalledModule -Name Az. Сведения об установке или обновлении см. в статье "Установка Azure PowerShell". Если вы используете Azure Cloud Shell, последняя версия уже установлена.

Установка интерфейса командной строки Kubernetes

Вы используете командную строку Kubernetes, чтобы подключиться к вашему кластеру Kubernetes. Если вы используете Azure Cloud Shell, kubectl уже установлен. Если вы выполняете команды локально, для установки kubectlможно использовать Azure CLI или Azure PowerShell.

Установите kubectl локально с помощью az aks install-cli команды.
```
az aks install-cli
```

azd среды в пространстве кода автоматически загружают все зависимости, найденные в ./devcontainer/devcontainer.json. Сюда входят интерфейс командной строки Kubernetes и образы из Реестра контейнеров Azure (ACR).

Чтобы установить kubectl локально, используйте az aks install-cli команду.
```
az aks install-cli
```

Создание кластера AKS

Кластеры AKS могут использовать управление доступом на основе ролей Kubernetes (Kubernetes RBAC), что позволяет определять доступ к ресурсам на основе ролей, назначенных пользователям. Разрешения объединяются при назначении пользователям нескольких ролей. Разрешения могут быть ограничены одним пространством имен или всем кластером. Дополнительные сведения см. в разделе "Управление доступом к ресурсам кластера" с помощью RBAC Kubernetes и идентификатора Microsoft Entra в AKS.

Сведения об ограничениях ресурсов AKS и доступности регионов см. в разделе "Квоты", ограничения размера виртуальной машины и доступность регионов в AKS.

Это важно

В этом руководстве создается кластер с тремя узлами. Чтобы обеспечить надежную работу кластера, необходимо запустить не менее двух узлов. Для использования хранилища контейнеров Azure требуется не менее трех узлов. Если при попытке создать кластер появится сообщение об ошибке, может потребоваться запросить увеличение квоты для подписки Azure или попробовать другой регион Azure. Кроме того, можно опустить параметр размера виртуальной машины узла, чтобы использовать размер виртуальной машины по умолчанию.

Чтобы разрешить кластеру AKS взаимодействовать с другими ресурсами Azure, платформа Azure автоматически создает удостоверение кластера. В этом примере идентификатору кластера предоставляется право загружать образы из экземпляра ACR, созданного в предыдущем руководстве. Чтобы выполнить команду успешно, в подписке Azure должна быть роль владельца или администратора учетной записи Azure .

Создайте кластер AKS с помощью az aks create команды. В следующем примере в группе ресурсов myResourceGroup создается кластер с именем myAKSCluster. Эта группа ресурсов была создана в предыдущем руководстве в регионе westus2 . Мы будем продолжать использовать переменную среды, $ACRNAMEкоторую мы задали в предыдущем руководстве. Если у вас нет этого набора переменных среды, задайте для него то же значение, которое вы использовали ранее.
```
az aks create \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --node-count 3 \
    --node-vm-size standard_l8s_v3 \
    --generate-ssh-keys \
    --attach-acr $ACRNAME
```
Примечание.

Если вы уже создали ключи SSH, может возникнуть ошибка, аналогичная linuxProfile.ssh.publicKeys.keyData is invalid. Чтобы продолжить, повторите команду без --generate-ssh-keys параметра.

Чтобы не требовалась роль Владелец или Администратор учетной записи Azure, вы можете также вручную настроить учетную запись службы для загрузки образов из ACR. Дополнительные сведения см. в статьях Аутентификация в реестре контейнеров Azure с помощью субъектов-служб и Аутентификация из Kubernetes с использованием секрета извлечения. В качестве альтернативы, для упрощения управления, можно использовать управляемое удостоверение вместо субъекта-службы.

Чтобы разрешить кластеру AKS взаимодействовать с другими ресурсами Azure, платформа Azure автоматически создает удостоверение кластера. В этом примере удостоверению кластера предоставляется право загружать образы из экземпляра ACR, созданного в предыдущем руководстве. Чтобы успешно выполнить команду, необходимо иметь роль владельца или администратора учетной записи Azure в вашей подписке Azure.

Создайте кластер AKS с помощью командлета New-AzAksCluster . В следующем примере в группе ресурсов myResourceGroup создается кластер с именем myAKSCluster. Эта группа ресурсов была создана в предыдущем руководстве в регионе westus2.
```
New-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster -NodeCount 3 -NodeVmSize standard_l8s_v3 -GenerateSshKey -AcrNameToAttach $ACRNAME
```
Примечание.

Если вы уже создали ключи SSH, может возникнуть ошибка, аналогичная linuxProfile.ssh.publicKeys.keyData is invalid. Чтобы продолжить, повторите команду без -GenerateSshKey параметра.

Чтобы избежать необходимости в наличии роли Владелец или Администратор учетной записи Azure, вы также можете вручную настроить учетную запись службы для получения образов из ACR. Дополнительные сведения см. в статьях Аутентификация в ACR с использованием субъектов-служб и Аутентификация из Kubernetes с использованием секрета для получения. В качестве альтернативы можно использовать управляемое удостоверение вместо субъекта-службы для упрощения управления.

Подключение к кластеру с помощью kubectl

Настройте kubectl, чтобы подключиться к кластеру Kubernetes, используя команду az aks get-credentials. В следующем примере показано получение учетных данных для кластера AKS с именем myAKSCluster в группе ресурсов myResourceGroup.
```
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
```
Проверьте подключение к кластеру kubectl get nodes с помощью команды, которая возвращает список узлов кластера.
```
kubectl get nodes
```
В следующем примере выходных данных показан список узлов кластера:
```
NAME                                STATUS   ROLES   AGE   VERSION
aks-nodepool1-19366578-vmss000000   Ready    agent   47h   v1.30.9
aks-nodepool1-19366578-vmss000001   Ready    agent   47h   v1.30.9
aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.30.9
```

Настройте kubectl для подключения к вашему кластеру Kubernetes с помощью командлета Import-AzAksCredential. В следующем примере получаются учетные данные для кластера AKS с именем myAKSCluster в myResourceGroup.
```
Import-AzAksCredential -ResourceGroupName myResourceGroup -Name myAKSCluster
```
Проверьте подключение к кластеру kubectl get nodes с помощью команды, которая возвращает список узлов кластера.
```
kubectl get nodes
```
В следующем примере выходных данных показан список узлов кластера.
```
NAME                                STATUS   ROLES   AGE   VERSION
aks-nodepool1-19366578-vmss000000   Ready    agent   47h   v1.30.9
aks-nodepool1-19366578-vmss000001   Ready    agent   47h   v1.30.9
aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.30.9
```

Настройте проверку подлинности в кластере azd auth login с помощью команды.
```
azd auth login 
```
Следуйте указаниям для метода проверки подлинности.

Проверьте подключение к кластеру kubectl get nodes с помощью команды.

kubectl get nodes

В следующем примере выходных данных показан список узлов кластера:

NAME                                STATUS   ROLES   AGE   VERSION
aks-nodepool1-19366578-vmss000000   Ready    agent   47h   v1.30.9
aks-nodepool1-19366578-vmss000001   Ready    agent   47h   v1.30.9
aks-nodepool1-19366578-vmss000002   Ready    agent   47h   v1.30.9

azd auth обходной путь

Для этого обходного решения требуется установить Azure CLI .

Откройте окно терминала и выполните вход с использованием Azure CLI, используя команду az login и установив параметр --scope на https://graph.microsoft.com/.default.
```
az login --scope https://graph.microsoft.com/.default
```
Вы будете перенаправлены на страницу аутентификации в новой вкладке, чтобы создать токен доступа к браузеру, как показано в следующем примере.
```
https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize?clientid=<your_client_id>.
```
Скопируйте URL-адрес localhost веб-страницы, который вы получите после попытки войти с azd auth login.

В новом окне терминала используйте следующий curl запрос для входа. Убедитесь, что вы заменили заполнитель на URL-адрес localhost <localhost>, скопированный на предыдущем шаге.

curl <localhost>

Успешный вход выводит HTML-веб-страницу, как показано в следующем примере:

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8" />
    <meta http-equiv="refresh" content="60;url=https://docs.microsoft.com/cli/azure/">
    <title>Login successfully</title>
    <style>
        body {
            font-family: 'Segoe UI', Tahoma, Geneva, Verdana, sans-serif;
        }

        code {
            font-family: Consolas, 'Liberation Mono', Menlo, Courier, monospace;
            display: inline-block;
            background-color: rgb(242, 242, 242);
            padding: 12px 16px;
            margin: 8px 0px;
        }
    </style>
</head>
<body>
    <h3>You have logged into Microsoft Azure!</h3>
    <p>You can close this window, or we will redirect you to the <a href="https://docs.microsoft.com/cli/azure/">Azure CLI documentation</a> in 1 minute.</p>
    <h3>Announcements</h3>
    <p>[Windows only] Azure CLI is collecting feedback on using the <a href="https://learn.microsoft.com/windows/uwp/security/web-account-manager">Web Account Manager</a> (WAM) broker for the login experience.</p>
    <p>You may opt-in to use WAM by running the following commands:</p>
    <code>
        az config set core.allow_broker=true<br>
        az account clear<br>
        az login
    </code>
</body>
</html>

Закройте текущий терминал и откройте исходный терминал. Вы увидите список JSON подписок.
id Скопируйте поле подписки, которую вы хотите использовать.
Настройте свою подписку с помощью команды az account set.
```
az account set --subscription <subscription_id>
```

Следующий шаг

В этом руководстве вы развернули кластер Kubernetes в AKS и настроили kubectl для подключения к кластеру. Вы научились выполнять следующие задачи:

Разверните кластер AKS, который может пройти проверку подлинности в ACR.
Установите интерфейс командной строки Kubernetes. kubectl
Настройте kubectl для подключения к кластеру AKS.

В следующем руководстве вы узнаете, как развернуть хранилище контейнеров Azure в кластере и создать универсальный временный том. Если вы используете интерфейс командной строки разработчика Azure или не смогли использовать оптимизированный для хранилища тип виртуальной машины из-за проблем с квотами, перейдите непосредственно к руководству по развертыванию контейнерного приложения .

Развертывание хранилища контейнеров Azure