已启用 Azure Arc 的 Kubernetes 群集的可用扩展

已启用 Azure Arc 的 Kubernetes 的群集扩展提供 Azure 资源管理器驱动的体验用于在群集上安装不同的 Azure 功能并管理其生命周期。 可将这些扩展部署到群集,以实现不同的方案并改进群集管理。

已启用 Arc 的 Kubernetes 群集目前可以使用以下扩展。 所有这些扩展都是群集范围内的

Azure Monitor 容器见解

  • 支持的发行版:云原生计算基金会 (CNCF) 认证的所有 Kubernetes 群集

使用 Azure Monitor 容器见解可以洞察 Kubernetes 群集上部署的工作负载的性能。 使用此扩展可以从控制器、节点和容器收集内存与 CPU 利用率指标。

有关详细信息,请参阅已启用 Azure Arc 的 Kubernetes 群集的 Azure Monitor 容器见解

Azure Policy

Azure Policy 将扩展 Gatekeeper,这是一个用于 Open Policy Agent (OPA) 的许可控制器 Webhook,它以集中、一致的方式对群集应用大规模操作和安全措施。

有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy

Azure Key Vault 机密提供程序

  • 支持的发行版:Azure Stack HCI 上的 AKS、通过 Azure Arc 启用的 AKS、Cluster API Azure、Google Kubernetes Engine、Canonical Kubernetes Distribution、OpenShift Kubernetes Distribution、Amazon Elastic Kubernetes Service、VMware Tanzu Kubernetes Grid

使用适用于机密存储 CSI 驱动程序的 Azure 密钥保管库提供程序,可以通过 CSI 卷将 Azure 密钥保管库作为机密存储与 Kubernetes 群集集成。 对于已启用 Azure Arc 的 Kubernetes 群集,可安装 Azure Key Vault 机密提供程序扩展以提取机密。

有关详细信息,请参阅使用 Azure 密钥保管库机密提供程序扩展将机密提取到已启用 Azure Arc 的 Kubernetes 群集

适用于容器的 Microsoft Defender

  • 支持的发行版:通过 Azure Arc 启用的 AKS、Cluster API Azure、Azure Red Hat OpenShift、Red Hat OpenShift(4.6 或更高版本)、Google Kubernetes Engine Standard、Amazon Elastic Kubernetes Service、VMware Tanzu Kubernetes Grid、Rancher Kubernetes Engine、Canonical Kubernetes Distribution

Microsoft Defender for Containers 是用于保护容器的云原生解决方案,可用于改进、监视和维护群集、容器及其应用程序的安全性。 它从 Kubernetes 群集收集安全相关的信息(例如审核日志数据),并根据收集的数据提供建议和威胁警报。

有关详细信息,请参阅启用 Microsoft Defender for Containers

重要

Defender for Containers 对已启用 Arc 的 Kubernetes 群集的支持目前以公共预览版提供。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Azure 预览版的补充使用条款

Flux (GitOps)

  • 支持的发行版:云原生计算基金会 (CNCF) 认证的所有 Kubernetes 群集。

AKS 和已启用 Azure Arc 的 Kubernetes 上的 GitOps 使用流行的开源工具集 Flux v2 来帮助管理群集配置和应用程序部署。 GitOps 在群集中作为 Microsoft.KubernetesConfiguration/extensions/microsoft.flux 群集扩展资源启用。

有关详细信息,请参阅教程:使用 GitOps with Flux v2 部署应用程序

支持 Flux v2 扩展的最新版本和前两个版本 (N-2)。 我们通常建议使用最新版本的扩展。

重要

Flux v2.3.0 版本包括对 HelmRelease 和 HelmChart API 的 API 更改(移除了已弃用的字段)和 kustomize 程序包的更新版本。 即将推出的 Azure Flux 扩展次要版本更新将包括这些更改,与上游 OSS Flux 项目一致。

HelmRelease 类型从 v2beta1 提升到 v2 (GA)。 v2 API 向后兼容 v2beta1,但以下已弃用字段除外,将删除这些字段:

  • .spec.chart.spec.valuesFile:替换为 .spec.chart.spec.valuesFiles
  • .spec.postRenderers.kustomize.patchesJson6902:替换为 .spec.postRenderers.kustomize.patches
  • .spec.postRenderers.kustomize.patchesStrategicMerge:替换为 .spec.postRenderers.kustomize.patches
  • .status.lastAppliedRevision:替换为 .status.history.chartVersion

HelmChart 类型从 v1beta2 提升到 v1 (GA)。 v1 API 向后兼容 v1beta2,但 .spec.valuesFile 字段除外,该字段将替换为 .spec.valuesFiles

请使用当前版本的 API 中已有的新字段,不要使用将被移除的字段。

kustomize 程序包将更新到 v5.4.0,其中包含以下中断性变更:

为了避免因中断性变更而出现问题,我们建议尽快更新你的清单,以确保你的 Flux 配置与此版本保持兼容。

注意

在发布新版本的 microsoft.flux 扩展后,新版本可能需要几天才能在所有区域中可用。

1.11.1(2024 年 8 月)

Flux 版本:版本 v2.3.0

  • source-controller:v1.3.0
  • kustomize-controller:v1.3.0
  • helm-controller:v1.0.1
  • notification-controller:v1.3.0
  • image-automation-controller:v0.38.0
  • image-reflector-controller:v0.32.0

对此版本所做的更改:

  • 更新 Flux OSS 控制器。
  • 解决了 fluxconfig-agentfluxconfig-controller 中 Fluent Bit 挎斗连续重启的问题。
  • 通过更新 Go 包解决了 fluxconfig-agentfluxconfig-controller 中的安全漏洞。
  • 为 Kustomize 控制器启用了工作负载标识。 有关设置说明,请参阅 AKS 群集中的工作负载标识
  • Flux 控制器 Pod 现在可以在其 Pod 规范中设置注释 kubernetes.azure.com/set-kube-service-host-fqdn。 即使存在第 7 层防火墙,这也能使流量流向 API 服务器的域名,从而简化了扩展安装期间的部署。 有关更多详细信息,请参阅在 Flux 扩展 Pod 上配置注释

1.10.0(2024 年 6 月)

Flux 版本:版本 v2.1.2

  • 源控制器:v1.2.5
  • kustomize-controller:v1.1.1
  • helm-controller:v0.36.2
  • notification-controller:v1.1.0
  • image-automation-controller:v0.36.1
  • image-reflector-controller:v0.30.0

对此版本所做的更改:

  • FluxConfig 自定义资源现在包含对 OCI 存储库的支持。 此增强意味着 Flux 配置可以容纳 Git 存储库、Bucket、Azure Blob 存储或 OCI 存储库作为有效的源类型。

1.9.1(2024 年 4 月)

Flux 版本:版本 v2.1.2

  • 源控制器:v1.2.5
  • kustomize-controller:v1.1.1
  • helm-controller:v0.36.2
  • notification-controller:v1.1.0
  • image-automation-controller:v0.36.1
  • image-reflector-controller:v0.30.0

对此版本所做的更改:

  • 控制器的日志级别参数(包括 fluxconfig-agentfluxconfig-controller)现在可自定义。 有关详细信息,请参阅配置日志级参数
  • Helm chart 发生了更改,以公开新的 SSH 主机密钥算法,从而连接到由世纪互联 DevOps 运营的 Azure。 有关详细信息,请参阅 Azure DevOps SSH-RSA 弃用

后续步骤