Kurz: Připojení k účtu úložiště Azure ve službě Azure Kubernetes Service (AKS) pomocí konektoru služby s využitím identity úloh

Článek
08/02/2024

Zjistěte, jak vytvořit pod v clusteru AKS, který komunikuje s účtem úložiště Azure pomocí identity úloh pomocí konektoru služby. V tomto kurzu provedete následující úlohy:

Vytvořte cluster AKS a účet úložiště Azure.
Vytvořte připojení mezi clusterem AKS a účtem úložiště Azure pomocí konektoru služby.
Naklonujte ukázkovou aplikaci, která bude komunikovat s účtem úložiště Azure z clusteru AKS.
Nasaďte aplikaci do podu v clusteru AKS a otestujte připojení.
Vyčistěte prostředky.

Důležité

Služba Connect v rámci AKS je aktuálně ve verzi Preview. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Požadavky

Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
Nainstalujte Azure CLI a přihlaste se k Azure CLI pomocí příkazu az login .
Nainstalujte Dockera kubectl a spravujte image kontejneru a prostředky Kubernetes.
Základní znalost kontejneru a AKS Začněte přípravou aplikace pro AKS.
Základní znalost identity úloh

Vytvoření zdrojů Azure

Vytvořte skupinu prostředků pro tento kurz.

az group create \
    --name MyResourceGroup \
    --location eastus

Vytvořte cluster AKS pomocí následujícího příkazu nebo použijte odkaz na tento kurz. Vytvoříme připojení služby, definici podu a nasadíme ukázkovou aplikaci do tohoto clusteru.
```
az aks create \
    --resource-group MyResourceGroup \
    --name MyAKSCluster \
    --enable-managed-identity \
    --node-count 1
```

Připojte se ke clusteru pomocí následujícího příkazu.

az aks get-credentials \
    --resource-group MyResourceGroup \
    --name MyAKSCluster

Vytvořte účet úložiště Azure pomocí následujícího příkazu nebo použijte odkaz na tento kurz. Toto je cílová služba, která je připojená ke clusteru AKS a ukázkové aplikaci interaguje.
```
az storage account create \
    --resource-group MyResourceGroup \
    --name MyStorageAccount \
    --location eastus \
    --sku Standard_LRS
```
Vytvořte registr kontejneru Azure pomocí následujícího příkazu nebo použijte odkaz na tento kurz. Registr hostuje image kontejneru ukázkové aplikace, kterou bude využívat definice podu AKS.
```
az acr create \
    --resource-group MyResourceGroup \
    --name MyRegistry \
    --sku Standard
```
A povolte anonymní vyžádání obsahu, aby cluster AKS mohl využívat image v registru.
```
az acr update \
    --resource-group MyResourceGroup \
    --name MyRegistry \
    --anonymous-pull-enabled
```
Pomocí následujícího příkazu nebo odkazu na kurz vytvořte spravovanou identitu přiřazenou uživatelem. Spravovaná identita přiřazená uživatelem se používá při vytváření připojení služby k povolení identity úloh pro úlohy AKS.
```
az identity create \
    --resource-group MyResourceGroup \
    --name MyIdentity
```

Vytvoření připojení služby pomocí konektoru Service Connector (Preview)

Vytvořte připojení služby mezi clusterem AKS a účtem úložiště Azure pomocí webu Azure Portal nebo Azure CLI.

Azure Portal
Azure CLI

Otevřete službu Kubernetes na webu Azure Portal a v nabídce vlevo vyberte Konektor služby.

Vyberte Vytvořit a vyplňte nastavení, jak je znázorněno níže. U ostatních nastavení ponechte výchozí hodnoty.

Karta Základy:

Nastavení	Volba	Popis
Obor názvů Kubernetes	default	Obor názvů, ve kterém potřebujete připojení v clusteru.
Typ služby	Storage – objekt blob	Typ cílové služby.
Název připojení	storage_conn	Použijte název připojení poskytovaný konektorem service connector nebo zvolte vlastní název připojení.
Předplatné	`<MySubscription>`	Předplatné cílové služby Azure Blob Storage
Účet úložiště	`<MyStorageAccount>`	Cílový účet úložiště, ke kterému se chcete připojit.
Typ klienta	Python	Jazyk kódu nebo architektura, které používáte pro připojení k cílové službě.

Karta Ověřování:

Nastavení ověřování	Volba	Popis
Typ ověřování	Identita úloh	Typ ověřování konektoru služby.
Spravovaná identita přiřazená uživatelem	`<MyIdentity>`	K povolení identity úloh je potřeba spravovaná identita přiřazená uživatelem.

Po vytvoření připojení se na stránce konektoru služby zobrazí informace o novém připojení.

Spuštěním následujícího příkazu Azure CLI vytvořte připojení služby k účtu úložiště Azure a zadejte následující informace:

az aks connection create storage-blob \
    --workload-identity <user-identity-resource-id>

Podle výzvy zadejte následující informace:

Název skupiny prostředků zdrojové výpočetní služby: název skupiny prostředků clusteru AKS.
Název clusteru AKS: název clusteru AKS, který se připojuje k cílové službě.
Název cílové skupiny prostředků služby: název skupiny prostředků účtu úložiště Azure.
Název účtu úložiště: účet úložiště Azure, který je připojený.
ID prostředku identity přiřazené uživatelem: ID prostředku identity přiřazené uživatelem použité k vytvoření identity úlohy.

Klonování ukázkové aplikace

Naklonujte ukázkové úložiště:

git clone https://github.com/Azure-Samples/serviceconnector-aks-samples.git

Přejděte do ukázkové složky úložiště pro Azure Storage:

cd serviceconnector-aks-samples/azure-storage-workload-identity

Sestavení a nasdílení image kontejneru

Pomocí příkazu Azure CLI az acr build sestavte a nasdílejte image do registru kontejneru.
```
az acr build --registry <MyRegistry> --image sc-demo-storage-identity:latest ./
```
Pomocí příkazu zobrazte image v registru kontejneru az acr repository list .
```
az acr repository list --name <MyRegistry> --output table
```

Spuštění aplikace a testování připojení

Nahraďte zástupné symboly v pod.yaml souboru ve azure-storage-identity složce.
- Nahraďte <YourContainerImage> názvem image, který jsme vytvořili v posledním kroku, <MyRegistry>.azurecr.io/sc-demo-storage-identity:latestnapříklad .
- Po vytvoření připojení nahraďte <ServiceAccountCreatedByServiceConnector> účtem služby vytvořeným konektorem služby. Název účtu služby můžete zkontrolovat na webu Azure Portal konektoru služeb.
- Po vytvoření připojení nahraďte <SecretCreatedByServiceConnector> tajným kódem vytvořeným konektorem služby. Název tajného kódu můžete zkontrolovat na webu Azure Portal konektoru služby.
Nasaďte pod do clusteru pomocí kubectl apply příkazu. Pokud není nainstalovaný, nainstalujte kubectl místně příkazem az aks install-cli. Příkaz vytvoří pod pojmenovaný sc-demo-storage-identity ve výchozím oboru názvů vašeho clusteru AKS.
```
kubectl apply -f pod.yaml
```
Zkontrolujte, jestli nasazení proběhlo úspěšně, a to zobrazením podu s kubectl.
```
kubectl get pod/sc-demo-storage-identity.
```
Zkontrolujte navázání připojení zobrazením protokolů pomocí kubectlpříkazu .
```
kubectl logs pod/sc-demo-storage-identity
```

Vyčištění prostředků

Pokud nepotřebujete opakovaně používat prostředky, které jste vytvořili v tomto kurzu, odstraňte všechny prostředky, které jste vytvořili odstraněním skupiny prostředků.

az group delete \
    --resource-group MyResourceGroup

Další kroky

Další informace o konceptech konektoru služeb a o tom, jak AKS pomáhá připojit se ke službám, najdete v následujících článcích.

Další informace o konceptech konektoru Service Connector

Připojení clusteru AKS k jiným cloudovým službám pomocí konektoru Service Connector

Sdílet prostřednictvím