Créer l’infrastructure pour exécuter un cluster MongoDB sur Azure Kubernetes Service (AKS)

Créer un groupe de ressources

• Créez un groupe de ressources avec la commande az group create.

  az group create --name $MY_RESOURCE_GROUP_NAME --location $MY_LOCATION --output table
  

  Exemple de sortie :

  Location       Name
  -------------  --------------------------------
  australiaeast  myResourceGroup-rg-australiaeast   
  

Créer une identité pour accéder aux secrets dans Azure Key Vault

Au cours de cette étape, vous créez une identité managée affectée par l’utilisateur, que l’opérateur de secrets externes utilise pour accéder aux mots de passe MongoDB stockés dans Azure Key Vault.

• Créez une identité managée affectée par l’utilisateur à l’aide de la commande az identity create.

  az identity create --name $MY_IDENTITY_NAME --resource-group $MY_RESOURCE_GROUP_NAME --output none
  export MY_IDENTITY_NAME_ID=$(az identity show --name $MY_IDENTITY_NAME -g $MY_RESOURCE_GROUP_NAME --query id -o tsv)
  export MY_IDENTITY_NAME_PRINCIPAL_ID=$(az identity show --name $MY_IDENTITY_NAME -g $MY_RESOURCE_GROUP_NAME --query principalId -o tsv)
  export MY_IDENTITY_NAME_CLIENT_ID=$(az identity show --name $MY_IDENTITY_NAME -g $MY_RESOURCE_GROUP_NAME --query clientId -o tsv)
  

Créer une instance Azure Key Vault

• Créez une instance Azure Key Vault à l’aide de la commande az keyvault create.

  az keyvault create --name $MY_KEYVAULT_NAME --resource-group $MY_RESOURCE_GROUP_NAME --location $MY_LOCATION --enable-rbac-authorization false --output table
  export KEYVAULTID=$(az keyvault show --name $MY_KEYVAULT_NAME --query "id" --output tsv)
  export KEYVAULTURL=$(az keyvault show --name $MY_KEYVAULT_NAME --query "properties.vaultUri" --output tsv)
  

  Exemple de sortie :

  Location       Name            ResourceGroup
  -------------  --------------  --------------------------------
  australiaeast  vault-cjcfc-kv  myResourceGroup-rg-australiaeast
  

Créer une instance Azure Container Registry

• Créez une instance d’Azure Container Registry pour stocker et gérer vos images conteneur à l’aide de la commande az acr create.

  az acr create \
  --name ${MY_ACR_REGISTRY} \
  --resource-group $MY_RESOURCE_GROUP_NAME \
  --sku Premium \
  --location $MY_LOCATION \
  --admin-enabled true \
  --output table
  export MY_ACR_REGISTRY_ID=$(az acr show --name $MY_ACR_REGISTRY --resource-group $MY_RESOURCE_GROUP_NAME --query id -o tsv)
  

  Exemple de sortie :

  NAME                  RESOURCE GROUP                    LOCATION       SKU      LOGIN SERVER                     CREATION DATE         ADMIN ENABLED
  --------------------  --------------------------------  -------------  -------  -------------------------------  --------------------  ---------------
  mydnsrandomnamecjcfc  myResourceGroup-rg-australiaeast  australiaeast  Premium  mydnsrandomnamecjcfc.azurecr.io  2024-07-01T12:18:34Z  True
  

Créer un compte de stockage Azure

• Créez un compte de stockage Azure pour stocker les sauvegardes MongoDB à l’aide de la commande az acr create.

  az storage account create --name $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME --resource-group $MY_RESOURCE_GROUP_NAME --location $MY_LOCATION --sku Standard_ZRS --output table
  az storage container create --name $AKS_MONGODB_BACKUP_STORAGE_CONTAINER_NAME --account-name $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME --output table
  export AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_KEY=$(az storage account keys list --account-name $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME --query "[0].value" -o tsv)
  az keyvault secret set --vault-name $MY_KEYVAULT_NAME --name AZURE-STORAGE-ACCOUNT-KEY --value $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_KEY --output none
  

  Exemple de sortie :

  AccessTier    AllowBlobPublicAccess    AllowCrossTenantReplication    CreationTime                      EnableHttpsTrafficOnly    Kind       Location       MinimumTlsVersion    Name            PrimaryLocation    ProvisioningState    ResourceGroup
  StatusOfPrimary
  ------------  -----------------------  -----------------------------  --------------------------------  ------------------------  ---------  -------------  -------------------  --------------  -----------------  -------------------  --------------------------------  -----------------
  Hot           False                    False                          2024-08-09T07:06:41.727230+00:00  True                      StorageV2  australiaeast  TLS1_0               mongodbsabdibh  australiaeast      Succeeded            myResourceGroup-rg-australiaeast  available
  Created
  ---------
  True
  

Créer un cluster AKS

Au cours des étapes suivantes, vous créez un cluster AKS avec une identité de charge de travail et un émetteur OIDC (OpenID Connect) activé. L’identité de la charge de travail autorise le compte de service Opérateur de secrets externes à accéder aux mots de passe MongoDB stockés dans votre coffre de clés.

1. Créez un cluster AKS avec la commande az aks create.

   az aks create \
   --location $MY_LOCATION \
   --name $MY_CLUSTER_NAME \
   --tier standard \
   --resource-group $MY_RESOURCE_GROUP_NAME \
   --network-plugin azure \
   --node-vm-size Standard_DS4_v2 \
   --node-count 1 \
   --nodepool-name systempool \
   --nodepool-tags "pool=system" \
   --auto-upgrade-channel stable \
   --node-os-upgrade-channel NodeImage \
   --attach-acr ${MY_ACR_REGISTRY} \
   --enable-oidc-issuer \
   --enable-workload-identity \
   --zones 1 2 3 \
   --generate-ssh-keys \
   --output none
   

2. Ajoutez un pool de nœuds utilisateur au cluster AKS à l’aide de la commande az aks nodepool add. Ce pool de nœuds est l’endroit où s’exécutent les pods MongoDB.

   az aks nodepool add \
   --resource-group $MY_RESOURCE_GROUP_NAME \
   --cluster-name $MY_CLUSTER_NAME \
   --name mongodbpool \
   --node-vm-size Standard_DS4_v2 \
   --node-count 3 \
   --zones 1 2 3 \
   --mode User \
   --output table
   

   Exemple de sortie :

   Name        OsType    KubernetesVersion    VmSize           Count    MaxPods    ProvisioningState    Mode
   ----------  --------  -------------------  ---------------  -------  ---------  -------------------  ------
   userpool    Linux     1.28                 Standard_DS4_v2  3        30         Succeeded            User
   

3. Obtenez l’URL de l’émetteur OIDC à utiliser pour la configuration de l’identité de charge de travail à l’aide de la commande az aks show.

   export OIDC_URL=$(az aks show --resource-group $MY_RESOURCE_GROUP_NAME --name $MY_CLUSTER_NAME --query oidcIssuerProfile.issuerUrl -o tsv)
   

4. Attribuez le rôle AcrPull à l’identité kubelet avec la commande az role assignment create.

   export KUBELET_IDENTITY=$(az aks show -g $MY_RESOURCE_GROUP_NAME --name $MY_CLUSTER_NAME -o tsv --query identityProfile.kubeletidentity.objectId)
   az role assignment create \
   --assignee ${KUBELET_IDENTITY} \
   --role "AcrPull" \
   --scope ${MY_ACR_REGISTRY_ID} \
   --output none
   

Charger des images Percona dans Azure Container Registry

Dans cette section, vous téléchargez les images Percona à partir de Docker Hub, et vous les chargez dans Azure Container Registry. Cette étape garantit que l’image est disponible dans votre registre privé et peut être utilisée dans votre cluster AKS. Nous ne recommandons pas de consommer l’image publique dans un environnement de production.

• Importez les images Percona à partir de Docker Hub, puis chargez-les dans Azure Container Registry à l’aide des commandes az acr import suivantes :

  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/percona-server-mongodb:7.0.8-5  \
      --image percona-server-mongodb:7.0.8-5
  
  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/pmm-client:2.41.2  \
      --image pmm-client:2.41.2
  
  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/percona-backup-mongodb:2.4.1  \
      --image percona-backup-mongodb:2.4.1
  
  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/percona-server-mongodb-operator:1.16.1  \
      --image percona-server-mongodb-operator:1.16.1
  

Déployer l’infrastructure avec Terraform

Pour déployer l’infrastructure à l’aide de Terraform, nous allons utiliser le module Vérifié Azure pour AKS. Le référentiel terraform-azurerm-avm-res-containerservice-managedcluster contient un exemple complet avec l’infrastructure requise pour exécuter un cluster MongoDB sur Azure Kubernetes Service (AKS).

1. Clonez le référentiel Git avec le module terraform :

   git clone https://github.com/Azure/terraform-azurerm-avm-res-containerservice-managedcluster.git
   cd examples/stateful-workloads
   

2. Créez un mongodb.tfvars fichier pour définir des variables à l’aide de la commande suivante :

   cat > mongodb.tfvars <<EOL
   location = "$MY_LOCATION"
   resource_group_name = "$MY_RESOURCE_GROUP_NAME"
   acr_registry_name = "$MY_ACR_REGISTRY"
   cluster_name = "$MY_CLUSTER_NAME"
   identity_name = "$MY_IDENTITY_NAME"
   keyvault_name = "$MY_KEYVAULT_NAME"
   aks_mongodb_backup_storage_account_name = "$AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME"
   aks_mongodb_backup_storage_container_name = "$AKS_MONGODB_BACKUP_STORAGE_CONTAINER_NAME"
   mongodb_enabled = true
   mongodb_namespace = "$AKS_MONGODB_NAMESPACE"
   service_account_name = "$SERVICE_ACCOUNT_NAME"
   
   acr_task_content = <<-EOF
   version: v1.1.0
   steps:
     - cmd: bash echo Waiting 10 seconds the propagation of the Container Registry Data Importer and Data Reader role
     - cmd: bash sleep 10
     - cmd: az login --identity
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/percona-server-mongodb:7.0.8-5 --image percona-server-mongodb:7.0.8-5
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/pmm-client:2.41.2 --image pmm-client:2.41.2
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/percona-backup-mongodb:2.4.1 --image percona-backup-mongodb:2.4.1
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/percona-server-mongodb-operator:1.16.1 --image percona-server-mongodb-operator:1.16.1
   EOF
   
   node_pools = {
     mongodbserver = {
       name       = "mongodbpool"
       vm_size    = "Standard_D2ds_v4"
       node_count = 3
       zones      = [1, 2, 3]
       os_type    = "Linux"
     }
   }
   EOL
   

3. Exécutez les commandes Terraform suivantes pour déployer l’infrastructure :

   terraform init
   terraform fmt
   terraform apply -var-file="mongodb.tfvars"
   

4. Exécutez la commande suivante pour exporter les valeurs de sortie Terraform en tant que variables d’environnement dans le terminal pour les utiliser dans les étapes suivantes :

   export MY_ACR_REGISTRY_ID=$(terraform output -raw acr_registry_id)
   export MY_ACR_REGISTRY=$(terraform output -raw acr_registry_name)
   export MY_CLUSTER_NAME=$(terraform output -raw aks_cluster_name)
   export KUBELET_IDENTITY=$(terraform output -raw aks_kubelet_identity_id)
   export OIDC_URL=$(terraform output -raw aks_oidc_issuer_url)
   export identity_name=$(terraform output -raw identity_name)
   export MY_IDENTITY_NAME_ID=$(terraform output -raw identity_name_id)
   export MY_IDENTITY_NAME_PRINCIPAL_ID=$(terraform output -raw identity_name_principal_id)
   export MY_IDENTITY_NAME_CLIENT_ID=$(terraform output -raw identity_name_client_id)
   export KEYVAULTID=$(terraform output -raw key_vault_id)
   export KEYVAULTURL=$(terraform output -raw key_vault_uri)
   export AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_KEY=$(terraform output -raw storage_account_key)
   export STORAGE_ACCOUNT_NAME=$(terraform output -raw storage_account_name)
   export TENANT_ID=$(terraform output -raw identity_name_tenant_id)