群集扩展

Helm 图表提供定义、安装和升级最复杂的 Kubernetes 应用程序所需的构建基块,有助于管理 Kubernetes 应用程序。

群集扩展功能在 Helm 的打包组件的基础上进行构建。 借助扩展,可以使用 Azure 资源管理器驱动的体验在 Kubernetes 群集上安装不同的功能并对它们进行生命周期管理。

群集操作员或管理员可以使用群集扩展功能来实现以下目的:

  • 在 Kubernetes 群集上安装和管理密钥管理、数据与应用程序产品/服务。
  • 使用 Azure Policy 跨环境中的所有群集自动大规模部署群集扩展。
  • 订阅每个扩展的版本序列(例如预览版或稳定版)。
  • 为扩展设置自动升级,或固定为特定的版本并手动升级版本。
  • 更新扩展属性或删除扩展实例。

扩展可用于支持各种 Azure 服务和方案。 如需当前支持的扩展的列表,请参阅已启用 Azure Arc 的 Kubernetes 群集的可用扩展

体系结构

显示群集扩展安装工作流体系结构的关系图。

群集扩展实例基于 Azure 资源管理器中已启用 Azure Arc 的 Kubernetes 资源(由 Microsoft.Kubernetes/connectedClusters 表示)创建为扩展 Azure 资源管理器资源 (Microsoft.KubernetesConfiguration/extensions)。

Azure 资源管理器中的此表示方式让你可以创作一个策略,用于检查所有已启用 Azure Arc 的 Kubernetes 资源,无论这些资源是否具有特定群集扩展。 确定缺少具有所需属性值的群集扩展的群集后,可以使用 Azure Policy 修正这些不符合的资源。

群集中运行的 config-agent 跟踪已启用 Azure Arc 的 Kubernetes 资源上的新增和更新的扩展资源。 群集中运行的 extensions-manager 代理会读取需要安装的扩展类型,然后从 Azure 容器注册表拉取关联的 Helm 图表,并将其安装在群集上。

群集中运行的 config-agentextensions-manager 组件处理扩展实例更新、版本更新和扩展实例删除。 这些代理使用群集的系统分配托管标识来安全地与 Azure 服务通信。

注意

config-agent 检查已启用 Azure Arc 的 Kubernetes 群集上新的或更新的扩展实例。 代理需要建立连接才能使扩展的所需状态可拉取到群集。 若代理无法连接到 Azure,则延迟将所需状态传播到群集。

扩展实例的受保护配置设置可在已启用 Azure Arc 的 Kubernetes 服务中存储 48 小时。 因此,若在 Azure 上创建扩展资源后的 48 小时内群集处于断开连接状态,则扩展将状态从 Pending 更改为 Failed。 若要防止此情况出现,建议定期将群集联机。

重要

目前,基于 ARM64 的群集不支持已启用 Azure Arc 的 Kubernetes 群集扩展,但 Flux (GitOps) 除外。 若要安装和使用其他群集扩展,群集必须至少有一个操作系统节点和体系结构类型 linux/amd64

扩展范围

每个扩展类型都定义了它们在群集上运行的范围。 已启用 Arc 的 Kubernetes 群集上的扩展安装范围为群集命名空间

群集范围的扩展将安装在创建扩展期间指定的 release-namespace 中。 通常,只有群集范围扩展的一个实例及其组件(例如 Pod、运算符和自定义资源定义 (CRD))安装在群集的发布命名空间中。

命名空间范围的扩展可以安装在使用 -namespace 属性提供的给定命名空间中。 由于扩展可以部署在命名空间范围内,因此命名空间范围扩展的多个实例及其组件可以在群集上运行。 每个扩展实例都具有对其部署到的命名空间的权限。 上述都是群集范围的扩展,但 Kubernetes 上的事件网格的扩展除外。

所有当前可用的扩展都是群集范围的扩展,但 Azure Arc 上的 Azure API 管理除外。

后续步骤