Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Windows Server 2022, Windows Server 2019
Cet article décrit les conditions requises pour configurer Azure Kubernetes Service (AKS) sur Windows Server. Pour obtenir une vue d’ensemble d’AKS sur Windows Server, consultez la vue d’ensemble d’AKS.
Configuration matérielle requise
Microsoft recommande d’acheter une solution matérielle et logicielle Windows Server validée auprès de nos partenaires. Ces solutions sont conçues, assemblées et validées pour exécuter notre architecture de référence. Ils vérifient la compatibilité et la fiabilité afin que vous soyez opérationnel rapidement. Vérifiez que les systèmes, composants, appareils et pilotes que vous utilisez sont certifiés Windows Server par le catalogue Windows Server.
Importante
Les systèmes hôtes pour les déploiements de production doivent être des composants matériels physiques. La virtualisation imbriquée, caractérisée par le déploiement de Windows Server sur une machine virtuelle et l’installation d’AKS dans cette machine virtuelle, n’est pas prise en charge.
Spécifications matérielles maximales prises en charge
Les déploiements AKS sur Windows Server qui dépassent les spécifications suivantes ne sont pas pris en charge :
| Ressource | Maximale |
|---|---|
| Serveurs physiques par cluster | 8 (Windows Server) |
| Nombre total de machines virtuelles | 200 |
Exigences de calcul
Exigences minimales de mémoire
Configurez votre cluster AKS comme suit pour exécuter AKS sur un seul nœud Windows Server avec une ram limitée :
| Type de cluster | Taille VM de plan de contrôle | Nœud Worker | Pour les opérations de mise à jour | Équilibrage de charge |
|---|---|---|---|---|
| Hôte AKS | Taille VM Standard_A4_v2 = 8 Go | S.O. : l’hôte AKS n’a pas de nœuds Worker. | 8 Go | N/A : l’hôte AKS utilise kubevip pour l’équilibrage de charge. |
| Cluster de charge de travail | taille de machine virtuelle Standard_A4_v2 = 8 Go | Standard_K8S3_v1 pour 1 nœud worker = 6 Go | Peut réutiliser cette réserve de 8 Go pour la mise à niveau du cluster de charge de travail. | N/A si kubevip est utilisé pour l’équilibrage de charge (au lieu de l’équilibreur de charge HAProxy par défaut). |
Exigence minimale totale : 30 Go de RAM.
Cette exigence minimale s'applique à un déploiement AKS avec un nœud Worker pour l'exécution d'applications conteneurisées. Si vous ajoutez des nœuds Worker ou un équilibreur de charge HAProxy, la dernière exigence ram change en conséquence.
Exigences de calcul recommandées
| Environnement | Cœurs de processeur par serveur | mémoire vive |
|---|---|---|
| Cluster de basculement Windows Server | 32 | 256 Go |
| Windows Server mononœud | 16 | 128 Go |
Pour un environnement de production, le dimensionnement final dépend de l’application et du nombre de nœuds Worker que vous envisagez de déployer sur le cluster Windows Server. Si vous exécutez AKS sur un serveur Windows Server à nœud unique, vous n’obtenez pas de fonctionnalités telles que la haute disponibilité qui sont fournies avec l’exécution d’AKS sur un cluster de basculement Windows Server.
Vous devez installer le même système d’exploitation sur chaque serveur du cluster. Dans Windows Server Datacenter, chaque serveur du cluster doit avoir le même système d’exploitation et la même version. Chaque système d'exploitation doit utiliser les sélections de région et de langue en-us. Vous ne pouvez pas changer ces paramètres après l’installation.
Exigences de stockage
AKS sur Windows Server prend en charge les implémentations de stockage suivantes :
| Name | Type de stockage | Capacité requise |
|---|---|---|
| Cluster de basculement Windows Server Datacenter | Volumes partagés de cluster | 1 To |
| Windows Server Datacenter mononœud | Stockage attaché directement | 500 Go |
Pour un cluster Windows Server, deux configurations de stockage prennent en charge l’exécution de charges de travail de machine virtuelle :
- Le stockage hybride équilibre les performances et la capacité à l’aide du stockage flash et des disques durs (HDD).
- Le stockage flash optimise les performances à l’aide de disques SSD (SSD) ou NVMe.
Kubernetes utilise etcd pour stocker l’état des clusters. Etcd stocke la configuration, les spécifications et l’état des pods en cours d’exécution. Par ailleurs, Kubernetes utilise le magasin pour la découverte de service. En tant que composant de coordination pour le fonctionnement de Kubernetes et des charges de travail qu’il prend en charge, la latence et le débit vers etcd sont essentiels. Vous devez exécuter AKS sur un disque SSD. Pour plus d’informations, consultez Performance.
Vous pouvez déployer un cluster Windows Server Datacenter avec un stockage local ou un stockage SAN. Pour le stockage local, utilisez les espaces de stockage intégrés Direct ou une solution SAN virtuelle certifiée équivalente pour créer une infrastructure hyperconvergée qui présente les volumes partagés de cluster à utiliser par les charges de travail. Pour les espaces de stockage direct, votre stockage doit être hybride (flash + HDD) qui équilibre les performances et la capacité, ou tout flash (SSD, NVMe) qui optimise les performances. Si vous optez pour un déploiement avec stockage SAN, assurez-vous que votre stockage SAN offre suffisamment de performances pour exécuter plusieurs charges de travail de machines virtuelles. Les anciens systèmes de stockage SAN basés sur des HDD risquent de ne pas offrir les niveaux de performance requis pour exécuter plusieurs charges de travail de machines virtuelles, et vous risquez d'observer des problèmes de performance et des dépassements de délai.
Pour les déploiements Windows Server à nœud unique qui utilisent le stockage local, utilisez le stockage flash complet (SSD, NVMe) pour fournir les performances requises pour héberger plusieurs machines virtuelles sur un seul hôte physique. Sans stockage flash, les niveaux de performance inférieurs des HDD peuvent entraîner des problèmes de déploiement et des dépassements de délai.
Configuration requise pour le réseau
Les conditions suivantes s’appliquent à un cluster Windows Server Datacenter.
- Vérifiez que vous disposez d’un commutateur virtuel externe existant configuré si vous utilisez Windows Admin Center. Pour les clusters Windows Server, ce commutateur et son nom doivent être identiques sur tous les nœuds de cluster.
- Vérifiez que vous avez désactivé IPv6 sur toutes les cartes réseau.
- Pour un déploiement réussi, les nœuds de cluster Windows Server et les machines virtuelles de cluster Kubernetes doivent disposer d’une connectivité Internet externe.
- Assurez-vous que tous les sous-réseaux que vous définissez pour le cluster sont routables entre eux et vers Internet.
- Assurez-vous qu’il existe une connectivité réseau entre les hôtes Windows Server et les machines virtuelles clientes.
- La résolution de noms DNS est requise pour que tous les nœuds puissent communiquer entre eux.
- (Recommandé) Activez les mises à jour DNS dynamiques dans votre environnement DNS pour autoriser AKS à inscrire le nom de cluster générique de l’agent cloud dans le système DNS pour la découverte.
Affectation d’adresses IP
Dans AKS sur Windows Server, les réseaux virtuels allouent des adresses IP aux ressources Kubernetes qui les nécessitent, comme indiqué précédemment. Choisissez parmi deux modèles de mise en réseau, en fonction de l’architecture de mise en réseau AKS souhaitée.
Note
L’architecture réseau virtuelle définie ici pour vos déploiements AKS est différente de l’architecture réseau physique sous-jacente dans votre centre de données.
- Mise en réseau IP statique : le réseau virtuel alloue des adresses IP statiques au serveur d’API de cluster Kubernetes, aux nœuds Kubernetes, aux machines virtuelles sous-jacentes, aux équilibreurs de charge et aux services Kubernetes que vous exécutez sur votre cluster.
- Mise en réseau DHCP : le réseau virtuel alloue des adresses IP dynamiques aux nœuds Kubernetes, aux machines virtuelles sous-jacentes et aux équilibreurs de charge à l’aide d’un serveur DHCP. Le serveur d’API de cluster Kubernetes et tous les services Kubernetes que vous exécutez sur votre cluster obtiennent toujours des adresses IP statiques.
Réservation d’adresse IP minimale
Au minimum, réservez le nombre d’adresses IP suivantes pour votre déploiement :
| Type de cluster | Nœud Plan de contrôle | Nœud Worker | Pour les opérations de mise à jour | Équilibrage de charge |
|---|---|---|---|---|
| Hôte AKS | 1 IP | N/A | 2 IP | N/A |
| Cluster de charge de travail | 1 IP par nœud | 1 IP par nœud | 5 IP | 1 IP |
Réservez également le nombre suivant d’adresses IP pour votre pool VIP :
| Type de ressource | Nombre d’adresses IP |
|---|---|
| Serveur d’API de cluster | 1 par cluster |
| Services Kubernetes | 1 par service |
Comme vous pouvez le voir, le nombre d’adresses IP requises varie en fonction de l’architecture AKS et du nombre de services que vous exécutez sur votre cluster Kubernetes. Réservez un total de 256 adresses IP (/24 sous-réseaux) pour votre déploiement.
Pour plus d'informations sur les exigences en matière de mise en réseau, voir Concepts de mise en réseau des nœuds dans AKS et Concepts de mise en réseau de conteneurs dans AKS.
Configuration requise des ports réseau et URL
Configuration requise pour AKS sur Windows Server
Lorsque vous créez un cluster Kubernetes, le processus ouvre automatiquement les ports de pare-feu suivants sur chaque serveur du cluster.
Si les nœuds de cluster physique et les machines virtuelles de cluster Azure Kubernetes se trouvent sur deux réseaux locaux virtuels isolés, vous devez ouvrir ces ports au niveau du pare-feu entre eux :
| Port | Origine | Descriptif | Notes de pare-feu |
|---|---|---|---|
| 22 | Machines virtuelles AKS | Requis pour collecter les journaux lors de l’utilisation de Get-AksHciLogs. |
En cas d'utilisation de VLAN distincts, les hôtes Hyper-V physiques doivent accéder aux machines virtuelles AKS sur ce port. |
| 6443 | Machines virtuelles AKS | Requis pour communiquer avec les API Kubernetes. | En cas d'utilisation de VLAN distincts, les hôtes Hyper-V physiques doivent accéder aux machines virtuelles AKS sur ce port. |
| 45000 | Hôte Hyper-V physique | serveur wssdAgent gRPC. | Aucune règle inter-VLAN n’est nécessaire. |
| 45001 | Hôte Hyper-V physique | Authentification wssdagent gRPC. | Aucune règle inter-VLAN n’est nécessaire. |
| 46000 | Machines virtuelles AKS | wssdCloudAgent à lbagent. | En cas d'utilisation de VLAN distincts, les hôtes Hyper-V physiques doivent accéder aux machines virtuelles AKS sur ce port. |
| 55000 | Ressource de cluster (-CloudServiceCIDR) | Serveur gRPC de l’agent cloud. | En cas d'utilisation de VLAN distincts, les machines virtuelles AKS doivent accéder à l'adresse IP de la ressource de cluster sur ce port. |
| 65 000 | Ressource de cluster (-CloudServiceCIDR) | Authentification gRPC de l’agent cloud. | En cas d'utilisation de VLAN distincts, les machines virtuelles AKS doivent accéder à l'adresse IP de la ressource de cluster sur ce port. |
Si votre réseau nécessite l’utilisation d’un serveur proxy pour se connecter à Internet, consultez Utiliser les paramètres du serveur proxy sur AKS.
Ajoutez les URL suivantes à votre liste d'autorisation :
| URL | Port | Remarques |
|---|---|---|
| msk8s.api.cdp.microsoft.com | 443 | Utilisé lors du téléchargement du catalogue de produits AKS sur Windows Server, des bits de produit et des images de système d’exploitation à partir de SFS. Se produit lors de l’exécution de Set-AksHciConfig et à chaque fois que vous téléchargez à partir de SFS. |
|
msk8s.b.tlu.dl.delivery.mp.microsoft.com msk8s.f.tlu.dl.delivery.mp.microsoft.com |
80 | Utilisé lors du téléchargement du catalogue de produits AKS sur Windows Server, des bits de produit et des images de système d’exploitation à partir de SFS. Se produit lors de l’exécution de Set-AksHciConfig et à chaque fois que vous téléchargez à partir de SFS. |
|
login.microsoftonline.com login.windows.net management.azure.com msft.sts.microsoft.com graph.windows.net |
443 | Utilisé pour la connexion à Azure pendant l’exécution de Set-AksHciRegistration. |
| ecpacr.azurecr.io mcr.microsoft.com *.mcr.microsoft.com *.data.mcr.microsoft.com *.blob.core.windows.net Point de terminaison USA : wus2replica*.blob.core.windows.net |
443 | Requis pour extraire des images conteneurs lors de l’exécution de Install-AksHci. |
| <region.dp.kubernetesconfiguration.azure.com> | 443 | Requis pour intégrer AKS sur des clusters Windows Server à Azure Arc. |
| gbl.his.arc.azure.com | 443 | Requis pour obtenir le point de terminaison régional pour l’extraction des certificats d’identité managée affectée par le système. |
| *.his.arc.azure.com | 443 | Nécessaire pour tirer (pull) les certificats d’identité managée affectée par le système. |
| k8connecthelm.download.prss.microsoft.com | 443 | Kubernetes avec Arc utilise Helm 3 pour déployer des agents Azure Arc sur le cluster d’administration AKS sur Windows Server. Ce point de terminaison est nécessaire pour le téléchargement du client Helm afin de faciliter le déploiement du graphique Helm de l’agent. |
| *.arc.azure.net | 443 | Requis pour gérer les clusters AKS Arc dans le portail Azure. |
| dl.k8s.io | 443 | Requis pour télécharger et mettre à jour des fichiers binaires Kubernetes pour Azure Arc. |
| akshci.azurefd.net | 443 | Requis pour la facturation d'AKS sur Windows Server lors de l’exécution de Install-AksHci. |
|
v20.events.data.microsoft.com gcs.prod.monitoring.core.windows.net |
443 | Permet d’envoyer régulièrement des données de diagnostic requises par Microsoft à partir de l’hôte Windows Server. |
Note
AKS sur Windows Server stocke et traite les données client. Par défaut, les données client restent dans la région dans laquelle vous déployez l’instance de service. Ces données sont stockées dans des centres de données régionaux gérés par Microsoft. Pour les régions ayant des exigences de résidence des données, les données client sont toujours conservées dans la même région.
Exigences supplémentaires en matière d'URL pour les fonctionnalités d'Azure Arc
La liste d’URL précédente couvre les URL minimales requises pour connecter votre service AKS à Azure pour la facturation. Vous devez autoriser des URL supplémentaires si vous souhaitez utiliser la connexion au cluster, les emplacements personnalisés, Azure RBAC et d’autres services Azure comme Azure Monitor, etc. sur votre cluster de charge de travail AKS. Pour obtenir la liste complète des URL Arc URLs, consultez Configuration réseau nécessaire pour le réseau Kubernetes avec Azure Arc.
Clusters étendus dans AKS
Comme indiqué dans la vue d’ensemble des clusters étendus, le déploiement d’AKS sur Windows Server à l’aide de clusters étendus Windows n’est pas pris en charge. Nous vous recommandons d’utiliser une approche de sauvegarde et de récupération d’urgence pour la continuité opérationnelle de votre centre de données. Pour plus d’informations, consultez Effectuer une sauvegarde ou une restauration de cluster de charge de travail à l’aide de Velero et stockage Blob Azure sur Windows Server, et Déployer des configurations sur AksHci à l’aide de GitOps avec Flux v2 pour assurer la continuité des applications.
Impératifs liés à Windows Admin Center
Windows Admin Center est l’interface utilisateur permettant de créer et de gérer AKS sur Windows Server. Pour utiliser Windows Admin Center avec AKS sur Windows Server, vous devez répondre à tous les critères de la liste suivante.
Ces exigences s’appliquent à la machine exécutant la passerelle Windows Admin Center :
- Windows 10 ou Windows Server.
- Inscription auprès d’Azure.
- Dans le même domaine que le cluster Windows Server Datacenter.
- Un abonnement Azure dans lequel vous avez des droits de propriétaire Vous pouvez vérifier votre niveau d'accès en accédant à votre abonnement et en sélectionnant Contrôle d’accès (IAM) sur le côté gauche du portail Azure, puis en sélectionnant Afficher mon accès.
Conditions requises pour Azure
Vous devez vous connecter à votre compte Azure.
Compte et abonnement Azure
Si vous n’avez pas encore de compte Azure, créez-en un. Vous pouvez utiliser un abonnement existant de n’importe quel type :
- Compte gratuit avec crédits Azure pour les étudiants ou les abonnés Visual Studio.
- Abonnement Paiement à l’utilisation avec une carte de crédit.
- Abonnement obtenu via un Contrat Entreprise.
- Abonnement obtenu via le programme Fournisseur de solutions cloud.
Autorisations, rôle et niveau d’accès Microsoft Entra
Vous devez avoir des autorisations suffisantes pour inscrire une application auprès de votre locataire Microsoft Entra.
Pour vérifier que vous disposez des autorisations suffisantes, suivez les informations de la section suivante :
- Accédez au portail Azure et sélectionnez Rôles et administrateurs sous l’ID Microsoft Entra afin de vérifier votre rôle.
- Si votre rôle est Utilisateur, assurez-vous que les non-administrateurs peuvent inscrire des applications.
- Pour vérifier si vous pouvez inscrire des applications, accédez aux paramètres utilisateur sous le service Microsoft Entra pour vérifier si vous êtes autorisé à inscrire une application.
Si le paramètre d’inscriptions d’applications est défini sur Non, seuls les utilisateurs ayant un rôle d’administrateur peuvent inscrire ces types d’applications. Pour en savoir plus sur les rôles d’administrateur disponibles et les autorisations spécifiques dans l’ID Microsoft Entra qui sont attribués à chaque rôle, consultez rôles intégrés Microsoft Entra. Si le rôle Utilisateur est attribué à votre compte, mais que le paramètre d’inscription d’applications est limité aux utilisateurs administrateurs, demandez à votre administrateur de vous attribuer l’un des rôles d’administrateur pouvant créer et gérer tous les aspects des inscriptions d’applications ou d’autoriser les utilisateurs à inscrire des applications.
Si vous n’avez pas les autorisations suffisantes pour inscrire une application et que votre administrateur Azure n'est pas en mesure de vous les accorder, le moyen le plus simple de déployer AKS consiste à lui demander de créer un principal de service avec les autorisations appropriées. Les administrateurs peuvent consulter la section suivante pour savoir comment créer un principal de service.
Rôle d’abonnement et niveau d’accès Azure
Pour vérifier votre niveau d’accès, accédez à votre abonnement, sélectionnez Contrôle d’accès (IAM) à gauche du portail Azure, puis Voir mon accès.
- Si vous utilisez Windows Admin Center pour déployer un hôte AKS ou un cluster de charge de travail AKS, vous devez avoir un abonnement Azure dont vous êtes Propriétaire.
- Si vous utilisez PowerShell pour déployer un hôte AKS ou un cluster de charge de travail AKS, l’utilisateur qui inscrit le cluster doit avoir au moins un des éléments suivants :
- Un compte d’utilisateur avec le rôle Propriétaire intégré.
- Un principal de service avec l’un des niveaux d’accès suivants :
- Le rôle Contributeur intégré.
- Le rôle Propriétaire intégré.
Si votre abonnement Azure passe par un EA ou un CSP, le moyen le plus simple de déployer AKS est de demander à votre administrateur Azure de créer un principal de service avec les autorisations adéquates. Les administrateurs peuvent consulter la section suivante pour savoir comment créer un principal de service.
Facultatif : créer un principal de service
Exécutez les étapes suivantes pour créer un principal de service avec le rôle Propriétaire intégré. Seuls les propriétaires d’abonnement peuvent créer des principaux de service avec l’attribution de rôle appropriée. Vous pouvez vérifier votre niveau d'accès en accédant à votre abonnement et en sélectionnant Contrôle d’accès (IAM) sur le côté gauche du portail Azure, puis en sélectionnant Afficher mon accès.
Définissez les variables PowerShell suivantes dans une fenêtre d’administration PowerShell. Vérifiez que l’abonnement et le locataire sont ce que vous souhaitez utiliser pour inscrire votre hôte AKS pour la facturation :
$subscriptionID = "<Your Azure subscrption ID>"
$tenantID = "<Your Azure tenant ID>"
Installez et importez le module AKS PowerShell :
Install-Module -Name AksHci
Connectez-vous à Azure avec la commande PowerShell Connect-AzAccount :
Connect-AzAccount -tenant $tenantID
Définissez l’abonnement à utiliser pour inscrire votre hôte AKS pour la facturation en tant qu’abonnement par défaut en exécutant la commande Set-AzContext :
Set-AzContext -Subscription $subscriptionID
Vérifiez que votre contexte de connexion est correct en exécutant la commande PowerShell Get-AzContext. Vérifiez que l’abonnement, le locataire et le compte sont les éléments que vous souhaitez utiliser pour inscrire votre hôte AKS pour la facturation :
Get-AzContext
Name Account SubscriptionName Environment TenantId
---- ------- ---------------- ----------- --------
myAzureSubscription (92391anf-... user@contoso.com myAzureSubscription AzureCloud xxxxxx-xxxx-xxxx-xxxxxx
Créez un principal du service en exécutant la commande PowerShell New-AzADServicePrincipal . Cette commande crée un principal de service avec le rôle Propriétaire et définit l’étendue au niveau d’un abonnement. Pour plus d’informations sur la création de principaux de service, consultez Créer un principal de service avec Azure PowerShell.
$sp = New-AzADServicePrincipal -role "Owner" -scope /subscriptions/$subscriptionID
Récupérez le mot de passe du principal du service en exécutant la commande suivante. Notez que cette commande fonctionne uniquement pour Az.Accounts 2.6.0 ou version antérieure. Le module PowerShell AksHci télécharge automatiquement le module Az.Accounts 2.6.0 lorsque vous l’installez :
$secret = $sp.PasswordCredentials[0].SecretText
Write-Host "Application ID: $($sp.ApplicationId)"
Write-Host "App Secret: $secret"
Grâce à la sortie précédente, vous disposez maintenant de l’ID d’application et du secret disponibles lors du déploiement d’AKS. Notez ces éléments et stockez-les en toute sécurité. Ensuite, dans le portail Azure, sous Abonnements, Contrôle d’accès, Attributions de rôle, vous devriez voir votre nouveau principal de service.
Groupe de ressources Azure
Vous devez disposer d’un groupe de ressources Azure dans la région Australie Est, USA Est, Asie Sud-Est ou Europe Ouest avant l’inscription.
Régions Azure
Warning
AKS Arc prend actuellement en charge la création de clusters exclusivement dans les régions Azure suivantes. Si vous essayez un déploiement dans une région qui ne figure pas dans la liste, il échouera.
Le service AKS Arc est utilisé pour l’inscription, la facturation et la gestion. Il prend actuellement en charge les régions suivantes :
- USA Est
- États-Unis - partie centrale méridionale
- Europe Ouest
spécifications relatives à Active Directory ;
Pour qu’un cluster de basculement AKS avec deux nœuds physiques ou plus fonctionne de manière optimale dans un environnement Active Directory, vérifiez que les exigences suivantes sont remplies :
Note
Active Directory n’est pas nécessaire pour les déploiements Windows Server à nœud unique.
- Configurez la synchronisation de temps afin que la divergence ne soit pas supérieure à deux minutes sur tous les nœuds de cluster et le contrôleur de domaine. Pour plus d'informations sur le réglage de la synchronisation de l'heure, voir Service de temps Windows.
- Assurez-vous que les comptes d’utilisateur que vous utilisez pour ajouter, mettre à jour et gérer des clusters AKS ou Windows Server Datacenter disposent des autorisations appropriées dans Active Directory. Si vous utilisez des unités d’organisation pour gérer les stratégies de groupe pour les serveurs et les services, les comptes d’utilisateur nécessitent des autorisations de liste, de lecture, de modification et de suppression sur tous les objets de l’unité d’organisation.
- Utilisez une unité d’organisation (UO) distincte pour les serveurs et les services de vos clusters AKS ou Windows Server Datacenter. Cela vous permettra de contrôler l’accès et les autorisations avec plus de granularité.
- Si vous utilisez des modèles de GPO sur des conteneurs dans Active Directory, assurez-vous que le déploiement d’AKS sur Windows Server est exempté de cette politique.
Étapes suivantes
Une fois que vous avez satisfait à toutes ces conditions préalables, vous pouvez configurer un hôte AKS à l’aide de :