Préparer votre cluster Kubernetes avec Azure Arc

Pour préparer un cluster Kubernetes avec Azure Arc, vous avez besoin de :

• Un abonnement Azure avec le rôle Propriétaire ou une combinaison des rôles Contributeur et Administrateur de l’accès utilisateur. Vous pouvez vérifier votre niveau d’accès en accédant à votre abonnement, en sélectionnant Contrôle d’accès (IAM) sur le côté gauche du portail Microsoft Azure, puis en sélectionnant Afficher mon accès. Si vous n’avez pas d’abonnement Azure, créez-en un gratuitement avant de commencer.

• Un groupe de ressources Azure. Une seule instance d’Opérations Azure IoT est prise en charge par groupe de ressources. Pour créer un groupe de ressources, utilisez la commande az group create. Pour obtenir la liste des régions Azure actuellement prises en charge, consultez Régions prises en charge.

  az group create --location <REGION> --resource-group <RESOURCE_GROUP> --subscription <SUBSCRIPTION_ID>
  

• Azure CLI version 2.62.0 ou ultérieure installée sur votre ordinateur de cluster. Utilisez az --version pour vérifier votre version et az upgrade pour effectuer une mise à jour si nécessaire. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Installation de l’interface de ligne de commande Azure.

• Dernière version de l’extension connectedk8s pour Azure CLI.

  az extension add --upgrade --name connectedk8s
  

• Matériel qui répond à la configuration requise :

  • Environnements pris en charge par Opérations Azure IoT.
  • Configuration requise pour Kubernetes avec Azure Arc.
  • Configuration requise pour K3s.

• Si vous allez déployer Opérations Azure IoT sur un cluster à plusieurs nœuds avec tolérance de panne activée, passez en revue les exigences matérielles et de stockage dans Préparer Linux pour les Edge Volumes.

Pour préparer un cluster Kubernetes avec Azure Arc, vous avez besoin de :

• Un abonnement Azure. Si vous n’avez pas d’abonnement Azure, créez-en un gratuitement avant de commencer.

• Matériel qui répond à la configuration requise :

  • Environnements pris en charge par Opérations Azure IoT.
  • Configuration requise pour Kubernetes avec Azure Arc.
  • Configuration requise et la matrice de prise en charge d’AKS Edge Essentials.
  • Aide sur la mise en réseau AKS Edge Essentials.

Pour préparer un cluster Kubernetes avec Azure Arc, vous avez besoin de :

• Un abonnement Azure. Si vous n’avez pas d’abonnement Azure, créez-en un gratuitement avant de commencer.

• Un cluster ou serveur local Azure.

• Matériel qui répond à la configuration requise :

  • Environnements pris en charge par Opérations Azure IoT.
  • Configuration requise pour Kubernetes avec Azure Arc.

Pour préparer un cluster de charge de travail TKG, vous avez besoin des éléments suivants :

• Un abonnement Azure avec le rôle Propriétaire ou une combinaison des rôles Contributeur et Administrateur de l’accès utilisateur. Vous pouvez vérifier votre niveau d’accès en accédant à votre abonnement, en sélectionnant Contrôle d’accès (IAM) sur le côté gauche du portail Microsoft Azure, puis en sélectionnant Afficher mon accès. Si vous n’avez pas d’abonnement Azure, créez-en un gratuitement avant de commencer.

• Un groupe de ressources Azure. Une seule instance d’Opérations Azure IoT est prise en charge par groupe de ressources. Pour créer un groupe de ressources, utilisez la commande az group create. Pour obtenir la liste des régions Azure actuellement prises en charge, consultez Régions prises en charge.

  az group create --location <REGION> --resource-group <RESOURCE_GROUP> --subscription <SUBSCRIPTION_ID>
  

• Azure CLI version 2.62.0 ou ultérieure installée sur votre ordinateur de cluster. Utilisez az --version pour vérifier votre version et az upgrade pour effectuer une mise à jour si nécessaire. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Installation de l’interface de ligne de commande Azure.

• Dernière version de l’extension connectedk8s pour Azure CLI.

  az extension add --upgrade --name connectedk8s
  

• TKG avec un cluster de gestion autonome.

• Matériel qui répond à la configuration requise :

  • Environnements pris en charge par Opérations Azure IoT.

  • Configuration requise pour Kubernetes avec Azure Arc.

  • Exigences du cluster de gestion autonome TKG.

Pour préparer un cluster Kubernetes K3s sur Ubuntu :

1. Créez un cluster K3s à nœud unique ou à plusieurs nœuds. Pour obtenir des exemples, consultez le guide de démarrage rapide K3s ou les projets liés à K3s.

2. Vérifiez que kubectl a été installé dans le cadre de K3s. Si ce n’est pas le cas, suivez les instructions pour Installer kubectl sur Linux.

   kubectl version --client
   

3. Suivez les instructions pour Installer Helm.

4. Créez un fichier yaml de configuration K3s dans.kube/config :

   mkdir ~/.kube
   sudo KUBECONFIG=~/.kube/config:/etc/rancher/k3s/k3s.yaml kubectl config view --flatten > ~/.kube/merged
   mv ~/.kube/merged ~/.kube/config
   chmod  0600 ~/.kube/config
   export KUBECONFIG=~/.kube/config
   #switch to k3s context
   kubectl config use-context default
   sudo chmod 644 /etc/rancher/k3s/k3s.yaml
   

5. Exécutez la commande suivante pour augmenter les limites de surveillance/d’instance de l’utilisateur.

   echo fs.inotify.max_user_instances=8192 | sudo tee -a /etc/sysctl.conf
   echo fs.inotify.max_user_watches=524288 | sudo tee -a /etc/sysctl.conf
   
   sudo sysctl -p
   

6. Pour de meilleures performances, augmentez la limite du descripteur de fichier :

   echo fs.file-max = 100000 | sudo tee -a /etc/sysctl.conf
   
   sudo sysctl -p
   

Activer votre cluster avec Arc

Connectez votre cluster à Azure Arc afin qu’il puisse être géré à distance.

1. À partir d’une machine qui a kubectl accès à votre cluster, connectez-vous à Azure CLI avec votre compte d’utilisateur Microsoft Entra disposant du ou des rôles requis pour l’abonnement Azure :

   az login
   

   Si vous obtenez une erreur indiquant que Votre appareil doit être géré pour accéder à votre ressource, exécutez de nouveau az login et veillez à vous connecter de manière interactive avec un navigateur.

2. Une fois que vous êtes connecté, Azure CLI affiche tous vos abonnements et indique votre abonnement par défaut avec un astérisque *. Pour continuer avec votre abonnement par défaut, sélectionnez Enter. Sinon, tapez le numéro de l’abonnement Azure que vous voulez utiliser.

3. Inscrivez les fournisseurs de ressources requis dans votre abonnement.

   Remarque

   Cette étape doit être exécutée une seule fois par abonnement. Pour inscrire des fournisseurs de ressources, vous devez disposer de l’autorisation d’effectuer l’opération /register/action qui est incluse dans les rôles Contributeur et Propriétaire de l’abonnement. Pour plus d’informations, consultez Fournisseurs et types de ressources Azure.

   az provider register -n "Microsoft.ExtendedLocation"
   az provider register -n "Microsoft.Kubernetes"
   az provider register -n "Microsoft.KubernetesConfiguration"
   az provider register -n "Microsoft.IoTOperations"
   az provider register -n "Microsoft.DeviceRegistry"
   az provider register -n "Microsoft.SecretSyncController"
   

4. Utilisez la commande az connectedk8s connect pour activer Arc sur votre cluster Kubernetes et le gérer dans le cadre de votre groupe de ressources Azure.

   az connectedk8s connect --name <CLUSTER_NAME> -l <REGION> --resource-group <RESOURCE_GROUP> --subscription <SUBSCRIPTION_ID> --enable-oidc-issuer --enable-workload-identity --disable-auto-upgrade
   

   Pour empêcher les mises à jour non planifiées d’Azure Arc et des extensions système Arc utilisées comme dépendances par Opérations Azure IoT, cette commande désactive la mise à niveau automatique. À la place, mettez à niveau les agents manuellement si nécessaire.

   Important

   Si votre environnement utilise un serveur proxy ou une passerelle Azure Arc, modifiez la commande az connectedk8s connect avec vos informations de proxy :

   1. Suivez les instructions de Connexion à l’aide d’un serveur proxy sortant ou Intégration des clusters Kubernetes à Azure Arc avec une passerelle Azure Arc.
   2. Ajoutez 169.254.169.254 au paramètre --proxy-skip-range de la commande az connectedk8s connect. Le Registre de Dispositifs Azure utilise ce point de terminaison local pour obtenir des jetons d’accès pour l’autorisation.

   Les Opérations Azure IoT ne prennent pas en charge les serveurs proxy qui nécessitent un certificat approuvé.

5. Obtenez l’URL de l’émetteur du cluster.

   az connectedk8s show --resource-group <RESOURCE_GROUP> --name <CLUSTER_NAME> --query oidcIssuerProfile.issuerUrl --output tsv
   

   Enregistrez la sortie de cette commande à utiliser dans les étapes suivantes.

6. Créez un fichier de configuration k3s.

   sudo nano /etc/rancher/k3s/config.yaml
   

7. Ajoutez le contenu suivant au fichier config.yaml, en remplaçant l’espace réservé <SERVICE_ACCOUNT_ISSUER> par l’URL de l’émetteur de votre cluster.

   kube-apiserver-arg:
    - service-account-issuer=<SERVICE_ACCOUNT_ISSUER>
    - service-account-max-token-expiration=24h
   

8. Enregistrez le fichier et quittez l’éditeur nano.

9. Préparez-vous à activer le service Azure Arc, l’emplacement personnalisé, sur votre cluster Arc en obtenant l’ID d’objet d’emplacement personnalisé et en l’enregistrant en tant que variable d’environnement, OBJECT_ID. Pour exécuter la commande, vous devez être connecté à l’interface Azure CLI avec un compte d’utilisateur Microsoft Entra, et non pas avec un principal de service. Exécutez la commande suivante exactement comme écrite, sans modifier la valeur du GUID.

   export OBJECT_ID=$(az ad sp show --id bc313c14-388c-4e7d-a58e-70017303ee3b --query id -o tsv)
   

   Remarque

   Si vous recevez l'erreur : « Impossible de récupérer l'oid de l'application « custom-locations ». Continuez sans activer la fonctionnalité. « Privilèges insuffisants pour terminer l’opération » alors votre principal de service pourrait ne pas disposer des autorisations nécessaires pour récupérer l’ID d’objet de l’emplacement personnalisé. Connectez-vous à Azure CLI avec un compte d’utilisateur Microsoft Entra qui répond aux conditions préalables. Pour plus d’informations, consultez Créer et gérer des emplacements personnalisés.

10. Utilisez la commande az connectedk8s enable-features pour activer la fonctionnalité d’emplacement personnalisé sur votre cluster Arc. Cette commande utilise la variable d’environnement OBJECT_ID enregistrée à l’étape précédente pour définir la valeur du paramètre custom-locations-oid. Sur l’ordinateur sur lequel vous avez déployé le cluster Kubernetes, exécutez la commande suivante :

    az connectedk8s enable-features -n <CLUSTER_NAME> -g <RESOURCE_GROUP> --custom-locations-oid $OBJECT_ID --features cluster-connect custom-locations
    

11. Redémarrez K3s.

    systemctl restart k3s
    

Configurer des clusters à plusieurs nœuds pour Azure Container Storage activé avec Azure Arc

Les fonctionnalités telles que les points de terminaison de stockage local de flux de données et le connecteur multimédia utilisent éventuellement Azure Container Storage activé par Azure Arc (ACSA) pour synchroniser les données locales dans le cloud. ACSA n’est pas installé dans le cadre d’Azure IoT Operations. Vous devez donc l’installer séparément.

Sur les clusters Ubuntu à plusieurs nœuds avec au moins trois nœuds, vous avez la possibilité d’activer la tolérance de panne pour le stockage ACSA. Pour activer la tolérance de panne pendant le déploiement, suivez les étapes décrites dans Préparer Linux pour les volumes Edge à l’aide d’un cluster Ubuntu à plusieurs nœuds pour configurer votre cluster.

Si vous exécutez votre cluster sur une distribution Kubernetes autre que k3s, passez en revue les instructions pour préparer Linux avec d’autres plateformes.

Azure Kubernetes Service Edge Essentials est une implémentation Kubernetes locale d’Azure Kubernetes Service (AKS), qui automatise l’exécution d’applications conteneurisées à grande échelle. AKS Edge Essentials inclut une plateforme Kubernetes prise en charge par Microsoft qui inclut une distribution Kubernetes légère avec une petite empreinte et une expérience d’installation simple qui prend en charge un matériel de périphérie « léger » ou de classe PC.

Le script AksEdgeQuickStartForAio.ps1 automatise le processus de création et de connexion d’un cluster, et est le chemin recommandé pour le déploiement d’Opérations Azure IoT sur AKS Edge Essentials.

Pour obtenir des instructions sur l’exécution du script, consultez Configurer un cluster AKS Edge Essentials pour Opérations Azure IoT.

• Pour obtenir des instructions sur la création d’un cluster AKS sur Azure Local et son activation pour Arc, consultez Créer des clusters Kubernetes avec Azure CLI.
• Pour obtenir des instructions sur le déploiement d’un cluster AKS sur Azure Local avec une identité de charge de travail (préversion) activée pour une sécurité renforcée, consultez Déployer et configurer une identité de charge de travail sur un cluster AKS. La fonctionnalité d’identité de charge de travail peut être activée uniquement pendant la création du cluster. L’exécution d’Opérations Azure IoT avec des paramètres sécurisés nécessite une identité de charge de travail.

Par défaut, un cluster Kubernetes est créé avec un pool de nœuds qui peut exécuter des conteneurs Linux. Si vous ajoutez davantage de pools de nœuds après la création, vérifiez que le système d’exploitation est défini sur Linux. Opérations Azure IoT ne prend pas en charge le déploiement sur des nœuds Windows.

Ensuite, une fois que vous disposez d’un cluster Kubernetes avec Azure Arc, vous pouvez déployer Opérations Azure IoT.

Pour préparer un cluster de charge de travail TKG, vous avez besoin des éléments suivants :

• Un cluster de charge de travail TKG à nœud unique ou à plusieurs nœuds. Pour obtenir des conseils, consultez la documentation Tanzu.

Mettre à jour les paramètres d’admission de sécurité des pods

Avant de déployer Azure IoT Operations, vous devez mettre à jour les paramètres d'admission de sécurité des pods sur votre cluster TKG. L’application de ce fichier va précréer les étiquettes d’espace de noms et définit la sécurité des pods sur privileged.

kubectl apply -f https://raw.githubusercontent.com/Azure-Samples/explore-iot-operations/main/samples/tanzu-config/psa.yaml

Activer votre cluster avec Arc

Connectez votre cluster à Azure Arc afin qu’il puisse être géré à distance.

1. Sur la machine sur laquelle vous avez déployé le cluster Kubernetes, connectez-vous à Azure CLI avec votre compte d’utilisateur Microsoft Entra disposant du ou des rôles requis pour l’abonnement Azure :

   az login
   

2. Une fois que vous êtes connecté, Azure CLI affiche tous vos abonnements et indique votre abonnement par défaut avec un astérisque *. Pour continuer avec votre abonnement par défaut, sélectionnez Enter. Sinon, tapez le numéro de l’abonnement Azure que vous voulez utiliser.

3. Inscrivez les fournisseurs de ressources requis dans votre abonnement.

   Remarque

   Cette étape doit être exécutée une seule fois par abonnement. Pour inscrire des fournisseurs de ressources, vous devez disposer de l’autorisation d’effectuer l’opération /register/action qui est incluse dans les rôles Contributeur et Propriétaire de l’abonnement. Pour plus d’informations, consultez Fournisseurs et types de ressources Azure.

   az provider register -n "Microsoft.ExtendedLocation"
   az provider register -n "Microsoft.Kubernetes"
   az provider register -n "Microsoft.KubernetesConfiguration"
   az provider register -n "Microsoft.IoTOperations"
   az provider register -n "Microsoft.DeviceRegistry"
   az provider register -n "Microsoft.SecretSyncController"
   

4. Utilisez la commande az connectedk8s connect pour activer Arc sur votre cluster Kubernetes et le gérer dans le cadre de votre groupe de ressources Azure.

   az connectedk8s connect --name <CLUSTER_NAME> -l <REGION> --resource-group <RESOURCE_GROUP> --subscription <SUBSCRIPTION_ID> --enable-oidc-issuer --enable-workload-identity --disable-auto-upgrade
   

   Pour empêcher les mises à jour non planifiées d’Azure Arc et des extensions système Arc utilisées comme dépendances par Opérations Azure IoT, cette commande désactive la mise à niveau automatique. À la place, mettez à niveau les agents manuellement si nécessaire.

   Important

   Si votre environnement utilise un serveur proxy ou une passerelle Azure Arc, modifiez la commande az connectedk8s connect avec vos informations de proxy :

   1. Suivez les instructions de Connexion à l’aide d’un serveur proxy sortant ou Intégration des clusters Kubernetes à Azure Arc avec une passerelle Azure Arc.
   2. Ajoutez 169.254.169.254 au paramètre --proxy-skip-range de la commande az connectedk8s connect. Le Registre de Dispositifs Azure utilise ce point de terminaison local pour obtenir des jetons d’accès pour l’autorisation.

   Les Opérations Azure IoT ne prennent pas en charge les serveurs proxy qui nécessitent un certificat approuvé.

5. Obtenez l’URL de l’émetteur du cluster.

   az connectedk8s show --resource-group <RESOURCE_GROUP> --name <CLUSTER_NAME> --query oidcIssuerProfile.issuerUrl --output tsv
   

Enregistrez la sortie de cette commande à utiliser dans les étapes suivantes.

1. Connectez-vous au cluster de gestion TKG. Modifiez la ressource personnalisée destinée au cluster de charge de travail en utilisant l’URL de l’émetteur de l’étape précédente.

   kubectl edit cluster <CLUSTER_NAME> 
   

2. Ajoutez le contenu suivant au fichier config.yaml, en remplaçant le texte de substitution <OIDC_ISSUER_URL> par l’URL de l’émetteur de votre cluster.

   Remarque

   L’URL doit être copiée exactement comme imprimée par la commande précédente, y compris les caractères tels que /.

   - name: apiServerExtraArgs
     value: {"service-account-issuer":"<OIDC_ISSUER_URL>"}
   

3. Préparez-vous à activer le service Azure Arc, l’emplacement personnalisé, sur votre cluster Arc en obtenant l’ID d’objet d’emplacement personnalisé et en l’enregistrant en tant que variable d’environnement, OBJECT_ID. Pour exécuter la commande, vous devez être connecté à l’interface Azure CLI avec un compte d’utilisateur Microsoft Entra, et non pas avec un principal de service. Exécutez la commande suivante exactement comme écrite, sans modifier la valeur du GUID.

   export OBJECT_ID=$(az ad sp show --id bc313c14-388c-4e7d-a58e-70017303ee3b --query id -o tsv)
   

   Remarque

   Si vous recevez l'erreur : « Impossible de récupérer l'oid de l'application « custom-locations ». Continuez sans activer la fonctionnalité. « Privilèges insuffisants pour terminer l’opération » alors votre principal de service pourrait ne pas disposer des autorisations nécessaires pour récupérer l’ID d’objet de l’emplacement personnalisé. Connectez-vous à Azure CLI avec un compte d’utilisateur Microsoft Entra qui répond aux conditions préalables. Pour plus d’informations, consultez Créer et gérer des emplacements personnalisés.

4. Utilisez la commande az connectedk8s enable-features pour activer la fonctionnalité d’emplacement personnalisé sur votre cluster Arc. Cette commande utilise la variable d’environnement OBJECT_ID enregistrée à l’étape précédente pour définir la valeur du paramètre custom-locations-oid. Sur l’ordinateur sur lequel vous avez déployé le cluster Kubernetes, exécutez la commande suivante :

   az connectedk8s enable-features -n <CLUSTER_NAME> -g <RESOURCE_GROUP> --custom-locations-oid $OBJECT_ID --features cluster-connect custom-locations