微软云azure和 aks系列文章 - 含azure az安装 - curl安装kubectl

已于 2023-07-06 15:19:34 修改
阅读量615 收藏 1
点赞数
分类专栏: k8s-docker-service-mesh 文章标签: kubernetes docker 容器
于 2022-11-26 11:42:31 首次发布
原文链接:https://www.cnblogs.com/threestone/p/16829392.html
版权

kubeclt工具下载:

https://kubernetes.io/docs/tasks/tools/#kubectl

AKS简介

Azure Kubernetes 服务 (AKS) 通过将操作开销卸载到 Azure,简化了在 Azure 中部署托管 Kubernetes 群集的过程。 作为一个托管的 Kubernetes 服务,Azure 可以自动处理运行状况监视和维护等关键任务。 创建 AKS 群集时,系统会自动创建和配置控制平面。 此控制平面作为提取自用户的 Azure 托管资源免费提供。 你只为附加到 AKS 群集的节点付费并对其进行管理。

零  先决条件 Azure基础之 az安装

# az是微软云的cmd工具,可以执行各种cmd命令,比如拉取aks证书等,所以我们先安装az工具

# 先决条件
# 安装 az
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
echo -e "[azure-cli]
name=Azure CLI
baseurl=https://packages.microsoft.com/yumrepos/azure-cli
enabled=1
gpgcheck=1
gpgkey=https://packages.microsoft.com/keys/microsoft.asc" | sudo tee /etc/yum.repos.d/azure-cli.repo
yum -y install azure-cli 

# 登录 az
# 打开 Azure CLI 切换到中国区  -n AzureChinaCloud
az cloud set -n AzureChinaCloud  # /切换至AzureChina
az login # /登录Azure
# 运行以下命令 
az account set --subscription 45xxxx-75df-475d-ad1b-xxxxxxxx # 45xxx换成自己的订阅号
az account set -n AzureChinaCloud --subscription 45xxxx-75df-475d-ad1b-xxxxxxxx # 45xxx换成自己的订阅号
#
az aks get-credentials --resource-group uat-all --name uat-k8s-all # 换成自己的aks name

如果习惯kubectl:


# 安装 kubectl
curl -LO https://dl.k8s.io/release/v1.22.0/bin/linux/amd64/kubectl

一 认证

先了解一下 原生K8S证书基础知识  :

图来自于:https://www.cnblogs.com/chinasoft/p/15896403.html

原生K8S操作步骤:

操作步骤文章:https://jimmysong.io/kubernetes-handbook/guide/kubectl-user-authentication-authorization.html

Azure的rbac ,一句话该块的话就是: 基于K8S进行授权,但是认证体系走azure部分。

推荐文章(已测试可用):AKS (9) 基于Azure AD的AKS RBAC访问控制 - Lei Zhang的博客 - 博客园

示例:

  第一步:az api创建  web组 web用户 获取到 web组的 id

webgroup_id=$(az ad group create --display-name webgroup --mail-nickname webgroup --query objectId -o tsv)

webuser_id=$(az ad user create  --display-name "web user" \
  --user-principal-name "webuser@mtr.partner.onmschina.cn" \
  --password "Password" \
  --query objectId -o tsv)
  
AKS_ID=$(az aks show \
--resource-group test-all-group \
--name test-k8s-all \
--query id -o tsv)

webgroupid:
7e9c40f2-eaf4-4cef-a3b3-f298f776f282

  第二步:把AKS和web组联系起来  在集群设置里面添加 web这个组

                设置AKS集群允许Azure AD RBAC认证

  第三步:创建namespace,创建Role和Role Binding

cat web-ns-role.yaml  这个权限其实也不是完全fuul,只是常用的资源,缺少 statatfulset 和daemon等资源的权限


kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: web-full-access #  绑定的时候会用到
  namespace: web
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["services", "endpoints", "pods","deployments","replicasets"]
  verbs: ["get", "list", "watch","update","patch", "delete","create"]

 # 这个是只读 留着备用

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: web-limited-access # 绑定的时候会用到
  namespace: web
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["services", "endpoints", "pods","deployments","replicasets"]
  verbs: ["get", "list", "watch"] # 去掉了 update等权限

cat web-full-rolebind.yaml


kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: web-group-access-1  
  namespace: web

roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: web-full-access   # 绑定的role的名字 如果想只读就用 web-limited-access

subjects:
- kind: Group
  namespace: web
  name: 7e9c40f2-eaf4-4cef-a3b3-f298f776f282 # Azure的web组的id
kubectl apply -f web-ns-role.yaml
kubectl apply -f web-full-rolebind.yaml

# 获取 kubeconfig到当前用户    会提示 az 和kubectl 使用 web用户登录的浏览器

后期推荐使用命令行直接登录:

https://github.com/Azure/kubelogin

GitHub - Azure/kubelogin: A Kubernetes credential (exec) plugin implementing azure authentication

az aks get-credentials --resource-group test-all-group --name test-k8s-all --overwrite-existing

二 存储

默认自带的几个sc都可以用,默认的pvc的创建的name是随机的 英文名称,创建好之后会在azure的存储账户里面看到。

# azure 创建pvpvc流程

# 1 创建sc aks 默认也有一些sc

kubectl get sc

W1219 03:23:12.990766 3957588 azure.go:92] WARNING: the azure auth plugin is deprecated in v1.22+, unavailable in v1.26+; use https://github.com/Azure/kubelogin instead.

To learn more, consult https://kubernetes.io/docs/reference/access-authn-authz/authentication/#client-go-credential-plugins

NAME                    PROVISIONER          RECLAIMPOLICY   VOLUMEBINDINGMODE      ALLOWVOLUMEEXPANSION   AGE

azurefile               file.csi.azure.com   Delete          Immediate              true                   33d

# azurefile-csi:使用 Azure 标准存储创建 Azure 文件共享。

# azurefile-csi-premium:使用 Azure 高级存储创建 Azure 文件共享。

azurefile-csi           file.csi.azure.com   Delete          Immediate              true                   33d

azurefile-csi-premium   file.csi.azure.com   Delete          Immediate              true                   33d

azurefile-premium       file.csi.azure.com   Delete          Immediate              true                   33d

default (default)       disk.csi.azure.com   Delete          WaitForFirstConsumer   true                   33d

managed                 disk.csi.azure.com   Delete          WaitForFirstConsumer   true                   33d

managed-csi             disk.csi.azure.com   Delete          WaitForFirstConsumer   true                   33d

managed-csi-premium     disk.csi.azure.com   Delete          WaitForFirstConsumer   true                   33d

managed-premium         disk.csi.azure.com   Delete          WaitForFirstConsumer   true                   33d

my-azurefile            file.csi.azure.com   Delete          Immediate              true                   25d

my-azurefile2           file.csi.azure.com   Delete          Immediate              true                   16d

# 例子1 azurefile-csi

# cat azure-pvc2.yaml

apiVersion: v1

kind: PersistentVolumeClaim

metadata:

  name: azurefile-csi-pvc

spec:

  accessModes:

    - ReadWriteMany

  storageClassName: azurefile-csi

  resources:

    requests:

      storage: 10Gi

# kubectl get pvc

NAME                STATUS   VOLUME                                     CAPACITY   ACCESS MODES   STORAGECLASS    AGE

azurefile-csi-pvc   Bound    pvc-eb9ecda6-12a9-48b8-a176-5cac9f46a66b   10Gi       RWX            azurefile-csi   3s

# 官方文档参考

https://learn.microsoft.com/zh-cn/azure/aks/azure-files-csi

三 网络

aks的网络 类似于 腾讯tke,pod网络和是和 linux虚拟机可以互通的,因此也要注意pod的网段的划分

可以直接创建一个 waf 绑定到ask直接使用

# ingress示例

apiVersion: apps/v1
kind: Deployment
metadata:
  name: mytest
  labels:
    app: mytest
spec:
  replicas: 1
  selector:
    matchLabels:
      app: cybeego
  template:
    metadata:
      labels:
        app: cybeego
    spec:
      containers:
      - name: cybeego
        image: testharbor.azurecr.cn/it/nginx_cybeego
        ports:
        - containerPort: 8888
---
apiVersion: v1
kind: Service
metadata:
  name: mytest-service
spec:
  selector:
    app: cybeego
  ports:
    - protocol: TCP
      port: 80
      targetPort: 8888
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: cybeego
  annotations:
    kubernetes.io/ingress.class: azure/application-gateway
    appgw.ingress.kubernetes.io/health-probe-path: "/"
spec:
  rules:
  - http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: mytest-service
            port:
              number: 80

执行之后会自动在微软waf上面创建 后端池、后端、侦听器、规则四块需要ui操作的,还是挺方便的。

四 监控 日志

aks监控可以直接接入grafana,有成熟模板,后期再补充示例。

日志是azure统一的日志,事件暂时没有找到持久化存储的相关产品,后续补充。

五 安全

待续。。。

yuezhilangniao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubelogin:Kubernetes OpenID Connect身份验证的kubectl插件(kubectl oidc-login)
02-03
kubelogin 这是用于的kubectl插件,也称为kubectl oidc-login 。 这是使用Google Identity Platform进行Kubernetes身份验证的示例: Kubelogin设计为可作为。 运行kubectl时,kubelogin打开浏览器,您可以登录到提供程序。 然后kubelogin从提供者那里获得一个令牌,并且kubectl使用该令牌访问Kubernetes API。 看一下该图: 入门 建立 从 , , 或安装最新版本。 # Homebrew (macOS and Linux) brew install int128/kubelogin/kubelogin # Krew (macOS, Linux, Windows and ARM) kubectl krew install oidc-login # Chocolatey (Windows) choco install kubelogin 您需要设置OIDC提供程序,集群角色绑定,Kubernetes API服务器和kubeconfig。 kubeconfig看起来像: us
Azure Managed Kubernetes (AKS) 简介
xiaowuwjw的博客
06-27 329
Azure 容器服务 (AKS) 是 Microsoft Azure 的一个托管的 Kubernetes 服务,它独立于现有的 Azure Container Service (ACS)。借助 AKS 用户无需具备容器业务流程的专业知识就可以快速、轻松的部署和管理容器化的应用程序。AKS 支持自动升级和自动故障修复,按需自动扩展或缩放资源池,消除了用户管理和维护 Kubernetes 集群的负担。
Azure安装AKS步骤及注意事项
novice的博客
01-14 792
Open Service Mesh AKS add-on AKS preview features are available on a self-service, opt-in basis. Previews are provided “as is” and “as available,” and they’re excluded from the service-level agreements and limited warranty. AKS previews are partially cover
Azure微软AKS集群的应用)
qq_45631844的博客
05-08 2169
文章目录一、前言1.1 什么是AKS二、AKS集群部署2.1 在浏览器界面点击cloud shell2.2 选择bash进行操作三、部署应用测试四、对外提供访问 一、前言 1.1 什么是AKS AKS是托管Kubernetes服务的平台,可以让你快速部署和管理集群,Kubernetes的master节点由Azure管理和创建,所以,我们只需要创建和维护node节点即可。且也只需要支付node节点的费用。 官方参考手册:https://docs.microsoft.com/zh-cn/azure/aks/
配置本地连接/使用AKS集群
weixin_42788640的博客
05-21 549
本文在无Azure CLI和kubectl工具的环境下进行配置,如果已安装,可以跳过相应步骤。 Windows 可以通过下载msi格式的安装程序进行安装,直接浏览器打开下面的链接即可下载: https://azcliprod.blob.core.windows.net/msi/azure-cli-2.36.0.msi 或者: 使用 PowerShell 安装 Azure CLI。 以管理员身份启动 PowerShell 并运行以下命令: Invoke-WebReque
azure-aks-kubernetes-masterclass:Azure AKS Kubernetes大师班
03-17
带有Azure DevOps和Terraform的Azure Kubernetes服务 课程模块 序号 Azure服务名称 1。 使用Azure门户创建Azure AKS群集 2。 3。 命令式方法:使用Kubectl的Kubernetes基础 4, 声明性方法:使用YAML的Kubernetes...
Azure-AKS-ApplicationGateway-WAF
01-30
Azure-AKS-ApplicationGateway-WAF
CIS-AKS-Optimized-Azure-Linux-Benchmark-v1.0.0.pdf
08-12
CIS 针对 Azure Linux 发行版的安全测评文档
azure-c-shared-utility:Azure C SDK的通用代码
02-01
azure-c-shared-utility是一个C库,为基本任务(如字符串,列表操作,IO等)提供通用功能。 依存关系 azure-c-shared-utility提供了3种tlsio实现: tlsio_schannel-仅在Windows上运行 tlsio_openssl-取决于正在安装...
Microsoft Developing Solutions for Microsoft AzureAZ-204)
12-27
Microsoft Developing Solutions for Microsoft AzureAZ-204)
kubelogin:Kubernetes凭证(exec)插件实现了Azure身份验证
05-05
kubelogin 这是实现Azure身份验证。 该插件提供了在kubectl中不可用的功能。 在kubectl v1.11 +上受支持 特征 convert-kubeconfig命令可将具有现有azure身份验证提供程序格式的kubeconfig转换为exec凭据插件格式 使用 AAD令牌将在本地缓存,以便在设备代码登录和用户主体登录(ropc)流中进行续订。 默认情况下,它保存在~/.kube/cache/kubelogin/ 如有必要,请访问删除audience声明中的spn:前缀。 (基于kubeconfig或命令行参数--legacy ) 入门 设置 将最新复制到Shell的搜索路径。 设置(自制程序) # install brew install Azure/kubelogin/kubelogin # upgrade brew update brew upgrade A
Azure AKS.pdf
11-10
Azure kubernetes service document Azure Kubernetes Service (AKS) manages your hosted Kubernetes environment, making it quick and easy to deploy and manage containerized applications without container orchestration expertise. It also eliminates the burden of ongoing operations and maintenance by provisioning, upgrading, and scaling resources on demand, without taking your applications offline.
aks:Azure AKS(受管理的州长)-测试的小型指南
05-10
Azure AKS(托管的Kubernetes)-测试的小型指南 本指南将演示如何测试Azure容器服务-Kubernetes作为托管服务(AKS)。 AKS提供了一个很好的功能来管理Kubernetes集群而没有复杂性。 与ACS(使用Kubernetes)和AKS不同的一个重要功能是缺少主节点作为Kubernetes集群的管理端点。 主节点的角色是Azure的职责,并简化了管理。 如果您是kubernetes的新手,我们建议您对该解决方案进行评估。 在执行这些步骤之前,了解在Azure上使用容器的所有选项非常重要。 了解每种选择 带有Docker的虚拟机 建议对评估容器的公司使用此方案。 您可以在此处使用以下选项: 使用Linux的虚拟机:有许多支持Docker引擎的发行版(包括Ubuntu,CoreOS,CentOS,SUSE,Red Hat等) 使用Windows的虚拟机:
如何实现AKS群集部署及挂载共享存储
ZuoGaoGaoSuDiDi的博客
07-06 1181
如何实现AKSAzure Kubernetes Service) 群集部署及挂载和共享存储 目录 Azure Kubernetes Service 服务 1 群集的部署运行与监控 1 背景需求 3 解决方案 3 产品介绍&基本概念 3 介绍以下内容(基本概念) 3 方案验证 4 1.创建 AKS 群集 4 2.安装Azure CLI 并成功连接到Azure 6 3.连接到群集 9 4.运行应用程序 10 5.测试应用程序 12 6.监视运行状况和日志 13
如何解决登录AzureChinaCloud Token验证报错AADSTS500011
m0_53111969的博客
10-03 1029
在使用python sdk 登录到AzureChinaCloud时常遇到”azure.core.exceptions.ClientAuthenticationError: Authentication failed: AADSTS500011 The resource principal named https://management.azure.com was not found“这个错误。
Azure-创建AKS集群
weixin_43394724的博客
12-04 1129
Azure Kubernetes 服务 (AKS) Azure Kubernetes 服务 (AKS) 管理托管的 Kubernetes 环境,使用户可以在 Azure 中轻松地部署和管理容器化的应用程序。 AKS 环境启用了自动更新、自愈和轻松缩放等功能。 Kubernetes 群集主机由 Azure 免费管理。 由用户管理群集中的代理节点,且只需为节点在其上运行的 VM 付费。 Kubernetes 群集体系结构 Kubernetes 群集分为两个组件: 控制平面:提供 Kubernetes 核心服务
Azure-AKS实战入门篇(客户端连接AKS)
JackieJia的博客
05-11 723
怎么快速的通过客户端去连接Azure的K8S服务,然后通过k8s的客户端命令查询资源允许情况,可以通过如下几个步骤进行实现成功连接AKS服务。
安装curl步骤
qq_34709554的博客
06-03 908
2.sudo gedit /etc/ld.so.conf 把1.中的路径加进去。1.卸载之前的版本sudo apt-get remove curl
【K8S】使用 Azure 门户部署 Azure Kubernetes 服务 (AKS) 群集
宝耶需努力的技术分享博客
06-02 1835
Azure Kubernetes 服务 (AKS) 是可用于快速部署和管理群集的托管式 Kubernetes 服务。
微软azure学生建网站
最新发布
01-04
微软Azure为学生提供了一种简单方便的方法来建立网站。首先,学生可以免费注册Azure账户,然后在Azure的控制台中选择"App Service"服务。通过"App Service",学生可以轻松地创建和托管自己的网站。 在创建网站时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值