Azure Arc已启用 Kubernetes 群集的可用扩展

适用于 Azure Arc 启用的 Kubernetes 的集群扩展 提供基于 Azure 资源管理器 的体验，用于安装和管理集群中各个 Azure 功能的生命周期。 可以将扩展部署到群集，以支持不同的方案并改进群集管理。

以下扩展当前可用于启用Azure Arc的 Kubernetes 群集。 本文中所述的所有扩展都是 适用于群集范围的。

Azure Monitor 中的容器见解

• 支持的发行版：云原生计算基金会 (CNCF) 认证的所有 Kubernetes 群集。

使用 Azure Monitor 中的容器见解功能可以查看 Kubernetes 群集上部署的工作负荷的性能。 使用此扩展可以从控制器、节点和容器收集内存与 CPU 利用率指标。

有关详细信息，请参阅支持 Azure Arc 的 Kubernetes 群集的容器见解。

Azure Policy

以下 Kubernetes 分发已在符合性测试中验证。 这意味着我们已显式验证 Azure Policy 扩展是否正确安装，并在这些平台上按预期方式运行。

• 受支持的分发版及其符合性验证：Azure Local上的 AKS（由 Azure Arc 启用的 AKS）、Kind、Rancher Government（RKE2）、Minikube、K3s、AKS Edge、TKG（VMware Tanzu Kubernetes 网格）。

以下 Kubernetes 分发在符合性测试中未通过验证。 这意味着支持Azure Policy扩展安装，但不能保证完整功能或行为一致性，直到符合性验证完成。

• 不支持的分发（不经过一致性验证）：EKS（Amazon Elastic Kubernetes 服务）、GKE（Google Kubernetes 引擎）、RKE（Rancher Kubernetes 引擎）。

Azure Policy 扩展了 Gatekeeper，一个用于 Open Policy Agent (OPA) 的准入控制器 Webhook。 请将 Gatekeeper 与 OPA 配合使用，以在群集上持续应用集中的大规模强制措施和安全措施。

有关详细信息，请参阅适用于 Kubernetes 群集的 Understand Azure Policy。

Azure Policy扩展发行说明

1.17.1

允许通过配置标志在 ARO 群集上创建防栏。 安全性改进。

• 发布日期：2026 年 4 月
• 策略映像：v1.15.5
• 门卫图像：v3.22.0-1

1.16.1

修复了在 Azure Local 上由 Azure Arc 启用的 AKS 中的策略扩展安装 bug。 添加了 RKE2 支持。 已启用突变。 已启用外部数据。 安全性改进。

• 发布日期：2026 年 1 月
• 策略映像：v1.15.4
• 守门员图像：v3.21.0-1

Azure 密钥保管库密钥提供程序

• 支持的发行版：Azure 本地的 AKS、Azure Arc 启用的 AKS、Cluster API for Azure、Google Kubernetes 引擎、Canonical Kubernetes 发行版、OpenShift Kubernetes 发行版、Amazon 弹性 Kubernetes 服务和 VMware Tanzu Kubernetes 网格。

使用 Azure 密钥保管库 提供程序的 Secrets Store CSI 驱动程序，通过 CSI 卷将 Azure 密钥保管库 实例作为机密存储库与 Kubernetes 集群集成。 对于启用 Azure Arc 的 Kubernetes 集群，您可以安装 Azure 密钥保管库 秘钥提供程序扩展来获取机密。

有关详细信息，请参阅 使用 Azure 密钥保管库 机密提供程序扩展将机密提取到已启用Azure Arc的 Kubernetes 群集。

用于容器的Microsoft Defender

• 支持的发行版：通过 Azure Arc 启用的 AKS、群集 API Azure、Azure Red Hat OpenShift、Red Hat OpenShift（版本 4.6 或更高版本）、Google Kubernetes Engine 标准版、Amazon Elastic Kubernetes Service、VMware Tanzu Kubernetes Grid、Rancher Kubernetes Engine 和 Canonical Kubernetes Distribution。

适用于容器的Microsoft Defender是用于保护容器的云原生解决方案，因此可以改进、监视和维护群集、容器及其应用程序的安全性。 容器Microsoft Defender从 Kubernetes 群集收集与安全性相关的信息，例如审核日志数据。 然后，它基于收集的数据提供建议和威胁警报。

有关详细信息，请参阅启用适用于容器的 Microsoft Defender。

Argo CD （GitOps）

• 支持的发行版：CNCF 认证的所有 Kubernetes 群集。

Argo CD（GitOps）扩展（预览版）允许将 Git 存储库用作群集配置和应用程序部署的真相来源。

有关详细信息，请参阅 教程：将 GitOps 与 Argo CD 配合使用来部署应用程序。

Flux （GitOps）

• 支持的发行版：CNCF 认证的所有 Kubernetes 群集。

可以通过Flux v2，一种常用的开源工具集，启用在 AKS 和启用了 Azure Arc 的 Kubernetes 上的GitOps，以帮助管理集群配置和应用程序部署。 通过 Flux 扩展，GitOps 作为 Microsoft.KubernetesConfiguration/extensions/microsoft.flux 群集扩展资源在群集中启用。

有关详细信息，请参阅教程：使用 GitOps with Flux v2 部署应用程序。

支持 Flux v2 扩展的最新版本和前两个版本 (N-2)。 我们通常建议使用最新版本的扩展。

弃用和删除通知：即将对扩展的 microsoft.flux 更改

即将发布的扩展版本中将删除 Flux 项目已停用的 microsoft.flux 多个上游 Flux API。 这些更改符合 Flux 社区简化和现代化 API 图面的努力。

以下 Flux API 即将弃用，将被删除：

• 已弃用的 API 在组 source.toolkit.fluxcd.io/v1beta1 和 source.toolkit.fluxcd.io/v1beta2 中
• 已弃用的 API 在组 kustomize.toolkit.fluxcd.io/v1beta1 和 kustomize.toolkit.fluxcd.io/v1beta2 中
• 已弃用的 API 在组 helm.toolkit.fluxcd.io/v2beta1 和 helm.toolkit.fluxcd.io/v2beta2 中
• 该组中的已弃用 API notification.toolkit.fluxcd.io/v1beta1
• 该组中的已弃用 API image.toolkit.fluxcd.io/v1beta1

有关详细信息，请参阅 https://github.com/fluxcd/flux2/issues/5572。

所需作： 若要确保持续兼容性并避免中断，请更新源以删除对已弃用 API 的引用。 对所有受影响的资源使用支持的 API 版本。 强烈建议在 2026 年 1 月之前完成这些步骤，以避免部署失败或资源对帐问题。

将您所有的资源迁移到源中的 Flux 稳定 API 中（Git 存储库、OCI 存储库、存储桶、Blob 存储），具体做法是替换清单中的 API 版本：

• Kustomization 至 kustomize.toolkit.fluxcd.io/v1
• HelmRelease 至 helm.toolkit.fluxcd.io/v2
• Bucket 至 source.toolkit.fluxcd.io/v1
• GitRepository 至 source.toolkit.fluxcd.io/v1
• HelmChart 至 source.toolkit.fluxcd.io/v1
• HelmRepository 至 source.toolkit.fluxcd.io/v1
• OCIRepository 至 source.toolkit.fluxcd.io/v1
• Receiver 至 notification.toolkit.fluxcd.io/v1
• Alert 至 notification.toolkit.fluxcd.io/v1beta3
• Provider 至 notification.toolkit.fluxcd.io/v1beta3
• ImageRepository 至 image.toolkit.fluxcd.io/v1beta2
• ImagePolicy 至 image.toolkit.fluxcd.io/v1beta2
• ImageUpdateAutomation 至 image.toolkit.fluxcd.io/v1beta2

请注意，ImageUpdateAutomation 提交模板应使用字段 .Changed.FileChanges 和 .Changed.Objects，而不是已弃用的 .Changed.Changes 和 .Updated 字段。

在源中更新清单后，Flux 将协调新的 API 版本。

microsoft.flux 版本 1.21.0 （2026 年 4 月）

Flux 版本：版本 v2.6.4

• source-controller：v1.6.4-8
• kustomize-controller：v1.6.1-11
• helm-controller：v1.3.2-6
• notification-controller：v1.6.0-10
• image-automation-controller：v0.41.2-11
• image-reflector-controller：v0.35.2-10

此版本中的更改包括：

• 通过更新 Go 包和基本映像来解决fluxconfig-agent, fluxconfig-controller, fluent-bit-mdm, source-controllerkustomize-controller, notification-controller, image-automation-controller, image-reflector-controller和helm-controller中的安全漏洞。
• Flux CRD 中已弃用 API 版本的 CR 已迁移至 etcd 存储。
• 优化日志减少fluxconfig-agent和fluxconfig-controller的日志占用。

microsoft.flux 版本 1.20.4 （2026 年 3 月）

Flux 版本：版本 v2.6.4

• source-controller：v1.6.4-7
• kustomize-controller： v1.6.1-10
• helm-controller：v1.3.2-5
• 通知控制器：v1.6.0-9
• image-automation-controller：v0.41.2-10
• image-reflector-controller：v0.35.2-9

此版本中的更改包括：

• 通过更新 Go 包和基本映像来解决fluxconfig-agent, fluxconfig-controller, fluent-bit-mdm, source-controllerkustomize-controller, notification-controller, image-automation-controller, image-reflector-controller和helm-controller中的安全漏洞。
• 通知控制器的工作负载身份支持。
• 确保工作负载身份的租户 ID 和客户端 ID 设置在更新时能在 Flux 控制器部署中得到正确反映。
• 自动符合 AKS 部署保护机制。
• Flux 控制器的对象级工作负荷标识支持。

microsoft.flux 版本 1.19.5 （2026 年 2 月）

Flux 版本：版本 v2.6.4

• source-controller：v1.6.4
• kustomize-controller：v1.6.1
• helm-controller：v1.3.2
• notification-controller：v1.6.0
• image-automation-controller：v0.41.2
• image-reflector-controller：v0.35.2

此版本中的更改包括：

• 通过更新 Go 包和基础映像，解决了安全漏洞fluxconfig-agentfluxconfig-controllerfluent-bit-mdmsource-controllerhelm-controller。

相关内容

• 详细了解 Azure Arc 启用的 Kubernetes 集群扩展。
• 了解如何将扩展部署到启用了 Azure Arc 的 Kubernetes 群集。