已启用 Azure Arc 的 Kubernetes 的群集扩展 提供基于 Azure 资源管理器的体验,用于安装和管理群集中不同 Azure 功能的生命周期。 可以将 扩展部署到群集 ,以支持不同的方案并改进群集管理。
已启用 Azure Arc 的 Kubernetes 群集目前可以与以下扩展配合使用。 本文中所述的所有扩展都是 适用于群集范围的。
Azure Monitor 中的容器见解
- 支持的发行版:云原生计算基金会 (CNCF) 认证的所有 Kubernetes 群集。
Azure Monitor 中的容器见解功能让你可以查看部署在 Kubernetes 群集上的工作负荷的性能。 使用此扩展可以从控制器、节点和容器收集内存与 CPU 利用率指标。
有关详细信息,请参阅 已启用 Azure Arc 的 Kubernetes 群集的容器见解。
Azure Policy
Azure Policy 扩展了 Gatekeeper,这是开放策略代理 (OPA) 的准许控制器 Webhook。 请将 Gatekeeper 与 OPA 配合使用,以在群集上持续应用集中的大规模强制措施和安全措施。
有关详细信息,请参阅 了解适用于 Kubernetes 群集的 Azure Policy。
Azure Key Vault 机密提供程序
- 支持的发行版:Azure Local 上的 AKS、通过 Azure Arc 启用的 AKS、Cluster API Azure、Google Kubernetes Engine、Canonical Kubernetes Distribution、OpenShift Kubernetes Distribution、Amazon Elastic Kubernetes Service 和 VMware Tanzu Kubernetes Grid。
使用适用于机密存储 CSI 驱动程序的 Azure Key Vault 提供程序,可通过 CSI 卷将 Azure Key Vault 实例作为机密存储与 Kubernetes 群集集成。 对于已启用 Azure Arc 的 Kubernetes 群集,可安装 Azure Key Vault 机密提供程序扩展以提取机密。
有关详细信息,请参阅 使用 Azure Key Vault 机密提供程序扩展将机密提取到已启用 Azure Arc 的 Kubernetes 群集中。
Azure Key Vault 密钥保管库
- 支持的分发:已启用 Arc 的 Kubernetes 群集,运行 Kubernetes 1.27 或更高版本,包括:Azure 本地 AKS、AKS Edge Essentials、OpenShift Kubernetes 分发和 VMware Tanzu Kubernetes 网格。
适用于 Kubernetes 的 Azure Key Vault 机密存储扩展(“机密存储”)可自动将机密从 Azure Key Vault 实例同步到 Kubernetes 群集以供脱机访问。 即使以半断开连接状态运行 Kubernetes 群集,也可使用 Azure Key Vault 存储、维护和轮换机密。
对于边缘群集,在不能保证 Internet 连接的情况下,或者需要将机密同步到 Kubernetes 机密存储时,我们建议使用 Secret Store 扩展。 对于不需要本地机密存储的 Azure 云中的群集,建议改用 Azure Key Vault 机密提供程序扩展。
有关详细信息,请参阅 使用机密存储扩展提取机密,以便在已启用 Azure Arc 的 Kubernetes 群集中脱机访问。
Microsoft Defender for Containers
- 支持的发行版:通过 Azure Arc 启用的 AKS、Cluster API Azure、Azure Red Hat OpenShift、Red Hat OpenShift(4.6 或更高版本)、Google Kubernetes Engine Standard、Amazon Elastic Kubernetes Service、VMware Tanzu Kubernetes Grid、Rancher Kubernetes Engine 和 Canonical Kubernetes Distribution。
Microsoft Defender for Containers 是用于保护容器的云原生解决方案,可用于改进、监视和维护群集、容器及其应用程序的安全性。 Microsoft Defender for Containers 从 Kubernetes 群集收集与安全相关的信息,例如审核日志数据。 然后,它基于收集的数据提供建议和威胁警报。
有关详细信息,请参阅 “为容器启用Microsoft Defender”。
重要
Defender for Containers 对已启用 Azure Arc 的 Kubernetes 群集的支持目前以公共预览版提供。
有关适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的法律条款,请参阅 Azure 预览版补充使用条款 。
ArgoCD (GitOps)
- 支持的发行版:CNCF 认证的所有 Kubernetes 群集。
ArgoCD(GitOps)扩展(预览版)允许将 Git 存储库用作群集配置和应用程序部署的真相来源。
有关详细信息,请参阅 教程:使用 GitOps 和 ArgoCD 部署应用程序。
Flux (GitOps)
- 支持的发行版:CNCF 认证的所有 Kubernetes 群集。
AKS 上的 GitOps 和已启用 Azure Arc 的 Kubernetes 可以通过 Flux v2(一个常用的开源工具集)启用,以帮助管理群集配置和应用程序部署。 通过 Flux 扩展,GitOps 作为群集扩展资源在群集 Microsoft.KubernetesConfiguration/extensions/microsoft.flux 中启用。
有关详细信息,请参阅 教程:将 GitOps 与 Flux v2 配合使用来部署应用程序。
支持 Flux v2 扩展的最新版本和前两个版本 (N-2)。 我们通常建议使用最新版本的扩展。
注意
在发布新版本的 microsoft.flux 扩展后,新版本可能需要几天才能在所有区域中可用。
弃用和删除通知:即将对扩展的 microsoft.flux 更改
即将发布的扩展版本中将删除 Flux 项目已停用的 microsoft.flux 多个上游 Flux API。 这些更改符合 Flux 社区简化和现代化 API 图面的努力。
以下 Flux API 即将弃用,将被删除:
- 该组中的已弃用 API
source.toolkit.fluxcd.io/v1beta1 - 该组中的已弃用 API
kustomize.toolkit.fluxcd.io/v1beta1 - 该组中的已弃用 API
helm.toolkit.fluxcd.io/v2beta1 - 该组中的已弃用 API
notification.toolkit.fluxcd.io/v1beta1 - 该组中的已弃用 API
image.toolkit.fluxcd.io/v1beta1
有关已弃用 API 及其替代项的完整列表,请参阅 https://github.com/fluxcd/flux2/issues/5474 中链接的 PR。
所需作: 若要确保持续兼容性并避免中断,请更新源以删除对已弃用 API 的引用。 对所有受影响的资源使用支持的 API 版本。 强烈建议在 2025 年 10 月之前完成这些步骤,以避免部署失败或资源对帐问题。
microsoft.flux 版本 1.17.2 (2025 年 8 月)
Flux 版本: 发布 v2.6.4
- source-controller:v1.6.2
- kustomize-controller:v1.6.1
- helm-controller:v1.3.0
- notification-controller:v1.6.0
- image-automation-controller:v0.41.2
- image-reflector-controller:v0.35.2
此版本中的更改包括:
- 通过更新 Go 包中解决了
fluxconfig-agent、fluxconfig-controller和fluent-bit-mdm的安全漏洞。
microsoft.flux 版本 1.16.12 (2025 年 7 月)
Flux 版本: 发布 v2.5.1
- source-controller:v1.5.0
- kustomize-controller:v1.5.2
- helm-controller:v1.2.0
- notification-controller:v1.5.0
- image-automation-controller:v0.40.0
- image-reflector-controller:v0.34.0
此版本中的更改包括:
- 通过更新 Go 包解决了安全漏洞
fluent-bit-mdm。
microsoft.flux 版本 1.16.8 (2025 年 6 月)
Flux 版本: 发布 v2.5.1
- source-controller:v1.5.0
- kustomize-controller:v1.5.2
- helm-controller:v1.2.0
- notification-controller:v1.5.0
- image-automation-controller:v0.40.0
- image-reflector-controller:v0.34.0
此版本中的更改包括:
- 通过更新 Go 包中解决了
fluxconfig-agent、fluxconfig-controller和fluent-bit-mdm的安全漏洞。 - 修复了
delete-fluxconfig作业中的问题,方法是向delete-fluxconfig预钩子作业添加容忍度,从而允许它在具有CriticalAddonsOnly污点的节点上运行。
相关内容
- 了解有关 Azure Arc 启用 Kubernetes 的集群扩展 的更多信息。
- 了解如何 将扩展部署到已启用 Azure Arc 的 Kubernetes 群集。