已启用 Azure Arc 的 Kubernetes 的群集扩展提供基于 Azure 资源管理器的体验,用于在群集中安装不同的 Azure 功能并管理其生命周期。 可以将扩展部署到群集,以支持不同的方案并改进群集管理。
已启用 Azure Arc 的 Kubernetes 群集目前可以与以下扩展配合使用。 本文中描述的所有扩展都为群集范围。
- 支持的发行版:云原生计算基金会 (CNCF) 认证的所有 Kubernetes 群集。
Azure Monitor 中的容器见解功能让你可以查看部署在 Kubernetes 群集上的工作负荷的性能。 使用此扩展可以从控制器、节点和容器收集内存与 CPU 利用率指标。
有关详细信息,请参阅已启用 Azure Arc 的 Kubernetes 群集的容器见解。
Azure Policy 扩展了 Gatekeeper,这是用于开放策略代理 (OPA) 的允许控制器 Webhook。 请将 Gatekeeper 与 OPA 配合使用,以在群集上持续应用集中的大规模强制措施和安全措施。
有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。
- 支持的发行版:Azure Local 上的 AKS、通过 Azure Arc 启用的 AKS、Cluster API Azure、Google Kubernetes Engine、Canonical Kubernetes Distribution、OpenShift Kubernetes Distribution、Amazon Elastic Kubernetes Service 和 VMware Tanzu Kubernetes Grid。
使用适用于机密存储 CSI 驱动程序的 Azure Key Vault 提供程序,可通过 CSI 卷将 Azure Key Vault 实例作为机密存储与 Kubernetes 群集集成。 对于已启用 Azure Arc 的 Kubernetes 群集,可安装 Azure Key Vault 机密提供程序扩展以提取机密。
有关详细信息,请参阅使用 Azure 密钥保管库机密提供程序扩展将机密提取到已启用 Azure Arc 的 Kubernetes 群集。
- 支持的发行版:通过 Azure Arc 启用的 AKS、Cluster API Azure、Azure Red Hat OpenShift、Red Hat OpenShift(4.6 或更高版本)、Google Kubernetes Engine Standard、Amazon Elastic Kubernetes Service、VMware Tanzu Kubernetes Grid、Rancher Kubernetes Engine 和 Canonical Kubernetes Distribution。
Microsoft Defender for Containers 是用于保护容器的云原生解决方案,可用于改进、监视和维护群集、容器及其应用程序的安全性。 Microsoft Defender for Containers 从 Kubernetes 群集收集与安全相关的信息,例如审核日志数据。 然后,它基于收集的数据提供建议和威胁警报。
有关详细信息,请参阅启用 Microsoft Defender for Containers。
重要
Defender for Containers 对已启用 Azure Arc 的 Kubernetes 群集的支持目前以公共预览版提供。
有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Azure 预览版的补充使用条款。
- 支持的发行版:CNCF 认证的所有 Kubernetes 群集。
AKS 和已启用 Azure Arc 的 Kubernetes 上的 GitOps 使用流行的开源工具集 Flux v2 来帮助管理群集配置和应用程序部署。 GitOps 在群集中作为 Microsoft.KubernetesConfiguration/extensions/microsoft.flux 群集扩展资源启用。
有关详细信息,请参阅教程:使用 GitOps with Flux v2 部署应用程序。
支持 Flux v2 扩展的最新版本和前两个版本 (N-2)。 我们通常建议使用最新版本的扩展。
重要
Flux v2.3.0 版本包括对 HelmRelease 和 HelmChart API 的 API 更改(移除了已弃用的字段)和 Kustomize 包的更新版本。 Microsoft Flux 扩展的一个即将推出的次要版本更新中包括这些更改,与上游开源软件 (OSS) Flux 项目一致。
HelmRelease API 从 v2beta1 提升到 v2 (GA)。 v2 API 后向兼容 v2beta1,但以下已弃用字段除外:
.spec.chart.spec.valuesFile:在v2中替换为.spec.chart.spec.valuesFiles。.spec.postRenderers.kustomize.patchesJson6902:在v2中替换为.spec.postRenderers.kustomize.patches。.spec.postRenderers.kustomize.patchesStrategicMerge:在v2中替换为.spec.postRenderers.kustomize.patches。.status.lastAppliedRevision:在v2中替换为.status.history.chartVersion。
HelmChart API 从 v1beta2 提升到 v1 (GA)。 v1 API 后向兼容 v1beta2,但 .spec.valuesFile 字段除外,该字段被替换为 .spec.valuesFiles。
当前版本的 API 中已提供这些新字段。 请使用新字段,而不是会在即将发布的版本中移除的字段。
Kustomize 包将更新到 v5.4.0。 该版本包含以下中断性变更:
为了避免中断性变更导致的问题,我们建议更新你的清单,以确保你的 Flux 配置与此版本保持兼容。
备注
在发布新版本的 microsoft.flux 扩展后,新版本可能需要几天才能在所有区域中可用。
Flux 版本:版本 v2.4.0
- source-controller:v1.4.1
- kustomize-controller:v1.4.0
- helm-controller:v1.1.0
- notification-controller:v1.4.0
- image-automation-controller:v0.39.0
- image-reflector-controller:v0.33.0
此版本中的更改包括:
- 添加了对
--feature-gates=StrictPostBuildSubstitutions=true controller标志的支持,以启用严格的生成后变量替换。 - 通过更新 Go 包解决了
fluxconfig-agent中的安全漏洞。
Flux 版本:版本 v2.4.0
- source-controller:v1.4.1
- kustomize-controller:v1.4.0
- helm-controller:v1.1.0
- notification-controller:v1.4.0
- image-automation-controller:v0.39.0
- image-reflector-controller:v0.33.0
此版本中的更改包括:
- 实施了修复以从正确的位置检索证书,解决将映像从 Alpine 切换到 Mariner 后发生的故障。
Flux 版本:版本 v2.3.0
- source-controller:v1.3.0
- kustomize-controller:v1.3.0
- helm-controller:v1.0.1
- notification-controller:v1.3.0
- image-automation-controller:v0.38.0
- image-reflector-controller:v0.32.0
此版本中的更改包括:
- 通过更新 Go 包解决了
fluxconfig-agent和fluxconfig-controller中的安全漏洞。 - 修复了
fluxconfig-agent和fluxconfig-controller的软件物料清单 (SBOM) 生成问题。 - 添加了对纵向缩放的支持。 目前,本机仅支持 Flux 纵向缩放文档中所述的特定参数。