已启用 Azure Arc 的 Kubernetes 群集的可用扩展
已启用 Azure Arc 的 Kubernetes 的群集扩展提供基于 Azure 资源管理器的体验,用于在群集中安装不同的 Azure 功能并管理其生命周期。 可以将扩展部署到群集,以支持不同的方案并改进群集管理。
已启用 Azure Arc 的 Kubernetes 群集目前可以与以下扩展配合使用。 本文中描述的所有扩展都为群集范围。
Azure Monitor 中的容器见解
- 支持的发行版:云原生计算基金会 (CNCF) 认证的所有 Kubernetes 群集。
Azure Monitor 中的容器见解功能让你可以查看部署在 Kubernetes 群集上的工作负荷的性能。 使用此扩展可以从控制器、节点和容器收集内存与 CPU 利用率指标。
有关详细信息,请参阅已启用 Azure Arc 的 Kubernetes 群集的容器见解。
Azure Policy
Azure Policy 扩展了 Gatekeeper,这是用于开放策略代理 (OPA) 的允许控制器 Webhook。 请将 Gatekeeper 与 OPA 配合使用,以在群集上持续应用集中的大规模强制措施和安全措施。
有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。
Azure Key Vault 机密提供程序
- 支持的发行版:Azure Stack HCI 上的 AKS、通过 Azure Arc 启用的 AKS、Cluster API Azure、Google Kubernetes Engine、Canonical Kubernetes Distribution、OpenShift Kubernetes Distribution、Amazon Elastic Kubernetes Service 和 VMware Tanzu Kubernetes Grid。
使用适用于机密存储 CSI 驱动程序的 Azure Key Vault 提供程序,可通过 CSI 卷将 Azure Key Vault 实例作为机密存储与 Kubernetes 群集集成。 对于已启用 Azure Arc 的 Kubernetes 群集,可安装 Azure Key Vault 机密提供程序扩展以提取机密。
有关详细信息,请参阅使用 Azure 密钥保管库机密提供程序扩展将机密提取到已启用 Azure Arc 的 Kubernetes 群集。
适用于容器的 Microsoft Defender
- 支持的发行版:通过 Azure Arc 启用的 AKS、Cluster API Azure、Azure Red Hat OpenShift、Red Hat OpenShift(4.6 或更高版本)、Google Kubernetes Engine Standard、Amazon Elastic Kubernetes Service、VMware Tanzu Kubernetes Grid、Rancher Kubernetes Engine 和 Canonical Kubernetes Distribution。
Microsoft Defender for Containers 是用于保护容器的云原生解决方案,可用于改进、监视和维护群集、容器及其应用程序的安全性。 Microsoft Defender for Containers 从 Kubernetes 群集收集与安全相关的信息,例如审核日志数据。 然后,它基于收集的数据提供建议和威胁警报。
有关详细信息,请参阅启用 Microsoft Defender for Containers。
重要
Defender for Containers 对已启用 Azure Arc 的 Kubernetes 群集的支持目前以公共预览版提供。
有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Azure 预览版的补充使用条款。
Flux (GitOps)
- 支持的发行版:CNCF 认证的所有 Kubernetes 群集。
AKS 和已启用 Azure Arc 的 Kubernetes 上的 GitOps 使用流行的开源工具集 Flux v2 来帮助管理群集配置和应用程序部署。 GitOps 在群集中作为 Microsoft.KubernetesConfiguration/extensions/microsoft.flux
群集扩展资源启用。
有关详细信息,请参阅教程:使用 GitOps with Flux v2 部署应用程序。
支持 Flux v2 扩展的最新版本和前两个版本 (N-2)。 我们通常建议使用最新版本的扩展。
重要
Flux v2.3.0 版本包括对 HelmRelease 和 HelmChart API 的 API 更改(移除了已弃用的字段)和 Kustomize 包的更新版本。 Microsoft Flux 扩展的一个即将推出的次要版本更新中包括这些更改,与上游开源软件 (OSS) Flux 项目一致。
HelmRelease API 从 v2beta1
提升到 v2
(GA)。 v2
API 后向兼容 v2beta1
,但以下已弃用字段除外:
.spec.chart.spec.valuesFile
:在v2
中替换为.spec.chart.spec.valuesFiles
。.spec.postRenderers.kustomize.patchesJson6902
:在v2
中替换为.spec.postRenderers.kustomize.patches
。.spec.postRenderers.kustomize.patchesStrategicMerge
:在v2
中替换为.spec.postRenderers.kustomize.patches
。.status.lastAppliedRevision
:在v2
中替换为.status.history.chartVersion
。
HelmChart API 从 v1beta2
提升到 v1
(GA)。 v1
API 后向兼容 v1beta2
,但 .spec.valuesFile
字段除外,该字段被替换为 .spec.valuesFiles
。
当前版本的 API 中已提供这些新字段。 请使用新字段,而不是会在即将发布的版本中移除的字段。
Kustomize 包将更新到 v5.4.0。 该版本包含以下中断性变更:
为了避免中断性变更导致的问题,我们建议更新你的清单,以确保你的 Flux 配置与此版本保持兼容。
注意
在发布新版本的 microsoft.flux
扩展后,新版本可能需要几天才能在所有区域中可用。
1.13.0(2024 年 10 月)
Flux 版本:版本 v2.4.0
- source-controller:v1.4.1
- kustomize-controller:v1.4.0
- helm-controller:v1.1.0
- notification-controller:v1.4.0
- image-automation-controller:v0.39.0
- image-reflector-controller:v0.33.0
对此版本所做的更改:
- 实施了修复以从正确的位置检索证书,解决将映像从 Alpine 切换到 Mariner 后发生的故障。
1.12.0 (2024 年 9 月)
Flux 版本:版本 v2.3.0
- source-controller:v1.3.0
- kustomize-controller:v1.3.0
- helm-controller:v1.0.1
- notification-controller:v1.3.0
- image-automation-controller:v0.38.0
- image-reflector-controller:v0.32.0
对此版本所做的更改:
- 通过更新 Go 包解决了
fluxconfig-agent
和fluxconfig-controller
中的安全漏洞。 - 修复了
fluxconfig-agent
和fluxconfig-controller
的软件物料清单 (SBOM) 生成问题。 - 添加了对纵向缩放的支持。 目前,本机仅支持 Flux 纵向缩放文档中所述的特定参数。
1.11.1(2024 年 8 月)
Flux 版本:版本 v2.3.0
- source-controller:v1.3.0
- kustomize-controller:v1.3.0
- helm-controller:v1.0.1
- notification-controller:v1.3.0
- image-automation-controller:v0.38.0
- image-reflector-controller:v0.32.0
对此版本所做的更改:
- 已更新 Flux OSS 控制器。
- 解决了
fluxconfig-agent
和fluxconfig-controller
中 Fluent Bit 挎斗连续重启的问题。 - 通过更新 Go 包解决了
fluxconfig-agent
和fluxconfig-controller
中的安全漏洞。 - 为 Kustomize 控制器启用了工作负载标识。 有关设置说明,请参阅 AKS 群集中的工作负载标识。
- Flux 控制器 Pod 现在可以在其 Pod 规范中设置注释
kubernetes.azure.com/set-kube-service-host-fqdn
。 即使存在第 7 层防火墙,此更改也能使流量流向 API 服务器的域名,从而简化了扩展安装期间的部署。 有关更多信息,请参阅在 Flux 扩展 Pod 上配置注释。