已启用 Azure Arc 的 Kubernetes 的群集扩展 提供基于 Azure 资源管理器的体验,用于安装和管理群集中不同 Azure 功能的生命周期。 可以将 扩展部署到群集 ,以支持不同的方案并改进群集管理。
已启用 Azure Arc 的 Kubernetes 群集目前可以与以下扩展配合使用。 本文中所述的所有扩展都是 适用于群集范围的。
Azure Monitor 中的容器见解
- 支持的发行版:云原生计算基金会 (CNCF) 认证的所有 Kubernetes 群集。
Azure Monitor 中的容器见解功能让你可以查看部署在 Kubernetes 群集上的工作负荷的性能。 使用此扩展可以从控制器、节点和容器收集内存与 CPU 利用率指标。
有关详细信息,请参阅 已启用 Azure Arc 的 Kubernetes 群集的容器见解。
Azure Policy
Azure Policy 扩展了 Gatekeeper,这是开放策略代理 (OPA) 的准许控制器 Webhook。 请将 Gatekeeper 与 OPA 配合使用,以在群集上持续应用集中的大规模强制措施和安全措施。
有关详细信息,请参阅 了解适用于 Kubernetes 群集的 Azure Policy。
Azure Key Vault 机密提供程序
- 支持的发行版:Azure Local 上的 AKS、通过 Azure Arc 启用的 AKS、Cluster API Azure、Google Kubernetes Engine、Canonical Kubernetes Distribution、OpenShift Kubernetes Distribution、Amazon Elastic Kubernetes Service 和 VMware Tanzu Kubernetes Grid。
使用适用于机密存储 CSI 驱动程序的 Azure Key Vault 提供程序,可通过 CSI 卷将 Azure Key Vault 实例作为机密存储与 Kubernetes 群集集成。 对于已启用 Azure Arc 的 Kubernetes 群集,可安装 Azure Key Vault 机密提供程序扩展以提取机密。
有关详细信息,请参阅 使用 Azure Key Vault 机密提供程序扩展将机密提取到已启用 Azure Arc 的 Kubernetes 群集中。
Azure Key Vault 密钥保管库
- 支持的分发:已启用 Arc 的 Kubernetes 群集,运行 Kubernetes 1.27 或更高版本,包括:Azure 本地 AKS、AKS Edge Essentials、OpenShift Kubernetes 分发和 VMware Tanzu Kubernetes 网格。
适用于 Kubernetes 的 Azure Key Vault 机密存储扩展(“机密存储”)可自动将机密从 Azure Key Vault 实例同步到 Kubernetes 群集以供脱机访问。 即使以半断开连接状态运行 Kubernetes 群集,也可使用 Azure Key Vault 存储、维护和轮换机密。
对于边缘群集,在不能保证 Internet 连接的情况下,或者需要将机密同步到 Kubernetes 机密存储时,我们建议使用 Secret Store 扩展。 对于不需要本地机密存储的 Azure 云中的群集,建议改用 Azure Key Vault 机密提供程序扩展。
有关详细信息,请参阅 使用机密存储扩展提取机密,以便在已启用 Azure Arc 的 Kubernetes 群集中脱机访问。
Microsoft Defender for Containers
- 支持的发行版:通过 Azure Arc 启用的 AKS、Cluster API Azure、Azure Red Hat OpenShift、Red Hat OpenShift(4.6 或更高版本)、Google Kubernetes Engine Standard、Amazon Elastic Kubernetes Service、VMware Tanzu Kubernetes Grid、Rancher Kubernetes Engine 和 Canonical Kubernetes Distribution。
Microsoft Defender for Containers 是用于保护容器的云原生解决方案,可用于改进、监视和维护群集、容器及其应用程序的安全性。 Microsoft Defender for Containers 从 Kubernetes 群集收集与安全相关的信息,例如审核日志数据。 然后,它基于收集的数据提供建议和威胁警报。
有关详细信息,请参阅 “为容器启用Microsoft Defender”。
重要
Defender for Containers 对已启用 Azure Arc 的 Kubernetes 群集的支持目前以公共预览版提供。
有关适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的法律条款,请参阅 Azure 预览版补充使用条款 。
ArgoCD (GitOps)
- 支持的发行版:CNCF 认证的所有 Kubernetes 群集。
ArgoCD(GitOps)扩展(预览版)允许将 Git 存储库用作群集配置和应用程序部署的真相来源。
有关详细信息,请参阅 教程:使用 GitOps 和 ArgoCD 部署应用程序。
Flux (GitOps)
- 支持的发行版:CNCF 认证的所有 Kubernetes 群集。
AKS 上的 GitOps 和已启用 Azure Arc 的 Kubernetes 可以通过 Flux v2(一个常用的开源工具集)启用,以帮助管理群集配置和应用程序部署。 通过 Flux 扩展,GitOps 作为群集扩展资源在群集 Microsoft.KubernetesConfiguration/extensions/microsoft.flux 中启用。
有关详细信息,请参阅 教程:将 GitOps 与 Flux v2 配合使用来部署应用程序。
支持 Flux v2 扩展的最新版本和前两个版本 (N-2)。 我们通常建议使用最新版本的扩展。
注意
在发布新版本的 microsoft.flux 扩展后,新版本可能需要几天才能在所有区域中可用。
中断性变更:源代码控制器中的语义化版本控制更改
最近 source-controller 更新了其对“github.com/Masterminds/semver/v3Go 包”的依赖项,从版本 v3.3.0 升级到 v3.3.1。 此更新更改了语义版本控制(semver)验证规则。
发生了什么变化? 在 semver 包的最新版本(v3.3.1)中,以前被视为有效的某些版本格式现在被拒绝。 具体而言,数值段(例如 1.0.029903)中具有前导零的版本字符串不再被视为有效的语义版本控制 (semver)。
- GitHub 问题供参考: 以前支持的图表版本号现在无效 - fluxcd/source-controller #17380
- 包更改日志:比较 v3.3.0...v3.3.1 · Masterminds/semver
对用户的影响:
- 现有部署不受影响。 当前部署的任何内容将继续按预期运行。
- 如果将来的部署或核对依赖于不遵循更严格的 semver 规则的图表版本,这些部署或核对可能会失败。
- 你可能会看到一个常见的错误:
invalid chart reference: validation: chart.metadata.version "1.0.029903" is invalid
您应该做的事情是: 查看图表版本并确保它们符合适当的语义版本。 避免版本组件中的前导零,并严格遵循 semver.org 规范。
1.17.2 (2025 年 8 月)
Flux 版本: 发布 v2.6.4
- source-controller:v1.6.2
- kustomize-controller:v1.6.1
- helm-controller:v1.3.0
- notification-controller:v1.6.0
- image-automation-controller:v0.41.2
- image-reflector-controller:v0.35.2
此版本中的更改包括:
- 通过更新 Go 包中解决了
fluxconfig-agent、fluxconfig-controller和fluent-bit-mdm的安全漏洞。
1.16.12 (2025 年 7 月)
Flux 版本: 发布 v2.5.1
- source-controller:v1.5.0
- kustomize-controller:v1.5.2
- helm-controller:v1.2.0
- notification-controller:v1.5.0
- image-automation-controller:v0.40.0
- image-reflector-controller:v0.34.0
此版本中的更改包括:
- 通过更新 Go 包解决了安全漏洞
fluent-bit-mdm。
1.16.8 (2025 年 6 月)
Flux 版本: 发布 v2.5.1
- source-controller:v1.5.0
- kustomize-controller:v1.5.2
- helm-controller:v1.2.0
- notification-controller:v1.5.0
- image-automation-controller:v0.40.0
- image-reflector-controller:v0.34.0
此版本中的更改包括:
- 通过更新 Go 包中解决了
fluxconfig-agent、fluxconfig-controller和fluent-bit-mdm的安全漏洞。 - 修复了
delete-fluxconfig作业中的问题,方法是向delete-fluxconfig预钩子作业添加容忍度,从而允许它在具有CriticalAddonsOnly污点的节点上运行。
相关内容
- 了解有关 Azure Arc 启用 Kubernetes 的集群扩展 的更多信息。
- 了解如何 将扩展部署到已启用 Azure Arc 的 Kubernetes 群集。