De Dapr-extensie configureren voor uw Azure Kubernetes Service (AKS) en Kubernetes-project met Arc

Nadat u de vereisten voor het installeren van de Dapr-extensie hebt voltooid, kunt u de Dapr-extensie zo configureren dat deze het beste werkt voor u en uw project met behulp van verschillende configuratieopties, zoals:

• Rotatie van verlopen certificaten
• Het inrichten van Dapr met ingeschakelde hoge beschikbaarheid (HA)
• Beperken welke van uw knooppunten de Dapr-extensie gebruiken
• Instellen van automatische updates voor aangepaste resourcedefinities (CRD)
• De Dapr-releasenaamruimte configureren

Met de extensie kunt u dapr-configuratieopties instellen met behulp van de --configuration-settings parameter in de Azure CLI of configurationSettings eigenschap in een Bicep-sjabloon.

Configuratie-instellingen bijwerken

Als u de dapr-configuratie-instellingen wilt bijwerken, maakt u de extensie opnieuw met de gewenste status. Stel dat u de extensie eerder hebt gemaakt en geïnstalleerd met behulp van de volgende configuratie:

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \  
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2" 

Als u de dapr_operator.replicaCount van twee naar drie wilt bijwerken, gebruikt u de volgende opdracht:

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=3"

MTLS-certificaten beheren

De Dapr-extensie ondersteunt versleuteling tijdens het transport van communicatie tussen Dapr-exemplaren met behulp van het besturingsvlak van de Dapr Sentry-service, een centrale certificeringsinstantie (CA). Met de Sentry-service kunt u communicatie versleutelen met behulp van zelfondertekende of door de gebruiker geleverde x.509-certificaten. Meer informatie over het instellen van mTLS-certificaten vindt u in de opensource Dapr-documentatie.

U kunt uw eigen certificaten meenemen of Dapr automatisch zelfondertekende basis- en verlenercertificaten laten maken en behouden.

Door Dapr gegenereerde zelfondertekende certificaten beheren

Als u geen aangepaste certificaten hebt opgegeven, worden automatisch zelfondertekende certificaten gemaakt en bewaard, geldig voor 1 jaar. De Dapr-extensie installeert de geheime gegevens dapr-trust-bundle, die certificaatinformatie bevatten binnen de standaard naamruimte dapr-system.

Controleren of de huidige door Dapr gegenereerde zelfondertekende certificaten verlopen

U kunt controleren wanneer het Dapr-basiscertificaat van uw Kubernetes-cluster verloopt met behulp van de Dapr CLI.

dapr mtls expiry

Verwachte uitvoer:

Root certificate expires in 8759 hours. Expiry date: 2025-12-06 18:14:20 +0000 UTC

U kunt ook de vervaldatum voor uw huidige certificaat vinden in de Kubernetes-geheime dapr-trust-bundle gegevens.

kubectl get secret dapr-trust-bundle -n dapr-system -o jsonpath='{.data.issuer\.crt}' | base64 -d | openssl x509 -noout -dates

Verwachte uitvoer:

notBefore=Dec  6 17:59:20 2024 GMT
notAfter=Dec  6 18:14:20 2025 GMT

Een nieuw door Dapr gegenereerd zelfondertekend certificaat genereren

• Via de Dapr CLI (aanbevolen)
  Raadpleeg de upgrade van root- en issuer-certificaten met behulp van CLI-gids van Dapr.
• Via kubectl opdrachten kunt u de Dapr-handleiding Root- of issuer-certificaten bijwerken met behulp van Kubectl raadplegen.

Uw eigen door de gebruiker geleverde x.509-certificaten beheren

U kunt ook uw eigen aangepaste certificaten meenemen.

• Aangepaste certificaten genereren
  Maak uw eigen aangepaste certificaat; Bijvoorbeeld een Azure Key Vault-certificaat.
• Uw aangepaste certificaat handmatig bijwerken
  Volg de instructies in de open source-documentatie van Dapr om uw aangepaste certificaten handmatig bij te werken met behulp van kubectl.

Dapr inrichten met hoge beschikbaarheid (HA) ingeschakeld

Schakel hoge beschikbaarheid (HA) voor Dapr in door de parameter global.ha.enabled op true in te stellen.

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2"

properties: {
  configurationSettings: {
    'global.ha.enabled': true
  }
}

Als er geen configuratie-instellingen worden doorgegeven, wordt de Dapr-configuratie standaard ingesteld op:

  ha:
    enabled: true
    replicaCount: 3
    disruption:
      minimumAvailable: ""
      maximumUnavailable: "25%"
  prometheus:
    enabled: true
    port: 9090
  mtls:
    enabled: true
    workloadCertTTL: 24h
    allowedClockSkew: 15m

Zie Dapr-configuratie voor een lijst met beschikbare opties.

De extensie beperken tot bepaalde knooppunten

In sommige configuraties wilt u mogelijk alleen Dapr uitvoeren op bepaalde knooppunten. U kunt de extensie beperken door een nodeSelector in de extensieconfiguratie door te geven. Als het gewenste nodeSelector bestand bevat ., moet u deze uit de shell en de extensie ontsnappen. Met de volgende configuratie wordt dapr bijvoorbeeld alleen geïnstalleerd op knooppunten met topology.kubernetes.io/zone: "us-east-1c":

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2" \
--configuration-settings "global.nodeSelector.kubernetes\.io/zone=us-east-1c"

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_operator.replicaCount=2" \
--configuration-settings "global.daprControlPlaneOs=linux" \
--configuration-settings "global.daprControlPlaneArch=amd64"

properties: {
  configurationSettings: {
    'global.clusterType': 'managedclusters'
    'global.ha.enabled': true
    'global.nodeSelector.kubernetes\.io/zone': 'us-east-1c'
    
  }
}

properties: {
  configurationSettings: {
    'global.clusterType': 'managedclusters'
    'global.ha.enabled': true
    'global.daprControlPlaneOs': 'linux'
    'global.daprControlPlaneArch': 'amd64'
  }
}

Dapr installeren in meerdere beschikbaarheidszones in de ha-modus

De plaatsingsservice maakt standaard gebruik van een opslagklasse van het type standard_LRS. Het is raadzaam om een zoneredundante opslagklasse te maken tijdens het installeren van Dapr in de ha-modus in meerdere beschikbaarheidszones. Als u bijvoorbeeld een zrs typeopslagklasse wilt maken, voegt u de storageaccounttype parameter toe:

kind: StorageClass
apiVersion: storage.k8s.io/v1
metadata:
  name: custom-zone-redundant-storage
provisioner: disk.csi.azure.com
reclaimPolicy: Delete
allowVolumeExpansion: true
volumeBindingMode: WaitForFirstConsumer
parameters:
  storageaccounttype: Premium_ZRS

Wanneer u Dapr installeert, gebruikt u de opslagklasse die u hebt gebruikt in het YAML-bestand:

az k8s-extension create --cluster-type managedClusters  
--cluster-name XXX  
--resource-group XXX  
--name XXX  
--extension-type Microsoft.Dapr  
--auto-upgrade-minor-version XXX  
--version XXX  
--configuration-settings "dapr_placement.volumeclaims.storageClassName=custom-zone-redundant-storage"

properties: {
  configurationSettings: {
    'dapr_placement.volumeclaims.storageClassName': 'custom-zone-redundant-storage'
    'global.ha.enabled': true  
  }
}

De Dapr-releasenaamruimte configureren

U kunt de releasenaamruimte configureren.

az k8s-extension create \
--cluster-type managedClusters \
--cluster-name dapr-aks \
--resource-group dapr-rg \
--name my-dapr-ext \
--extension-type microsoft.dapr \
--release-train stable \
--auto-upgrade false \
--version 1.9.2 \
--scope cluster \
--release-namespace dapr-custom

properties: {
  scope: {
    cluster: {
      releaseNamespace: 'dapr-custom'
    }
  }
}

Meer informatie over het configureren van de Dapr-releasenaamruimte bij het migreren van de open source van Dapr naar de Dapr-extensie.

Huidige configuratie-instellingen weergeven

Gebruik de az k8s-extension show opdracht om de huidige Dapr-configuratie-instellingen weer te geven:

az k8s-extension show --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr

Dapr-bewakingslogboekniveaus instellen

U kunt instellingen voor het bewakingsonderdeel Dapr configureren met de AKS-clusterextensie. Voorbeeld: om dapr_monitoring logboekniveaus bij te werken naar "waarschuwing" (alleen op de hoogte gesteld bij het ontvangen van een waarschuwing of fout), stelt u het volgende in configuration-settings:

az k8s-extension create --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--extension-type Microsoft.Dapr \
--auto-upgrade-minor-version true \
--configuration-settings "global.ha.enabled=true" \
--configuration-settings "dapr_monitoring.logLevel=warn"

De uitgaande proxy instellen voor de Dapr-extensie voor Azure Arc on-premises

Als u een uitgaande proxy wilt gebruiken met de Dapr-extensie voor AKS, kunt u dit doen door:

1. De proxyomgevingsvariabelen instellen met behulp van de dapr.io/env aantekeningen:
   • HTTP_PROXY
   • HTTPS_PROXY
   • NO_PROXY
2. Het proxycertificaat installeren in de sidecar.

Uw Dapr-installatieversie bijwerken

az k8s-extension update --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--version 1.12.0 # Version to upgrade or downgrade to

properties: {
  version: '1.12.0'
}

Met de voorgaande opdracht wordt het Dapr-besturingsvlak alleen bijgewerkt. Als u de Dapr-sidecars wilt bijwerken, start u de implementaties van uw toepassing opnieuw op:

kubectl rollout restart deploy/<DEPLOYMENT-NAME>

Azure Linux-gebaseerde afbeeldingen gebruiken

Vanuit Dapr versie 1.8.0 kunt u Azure Linux-installatiekopieën gebruiken met de Dapr-extensie. Als u deze wilt gebruiken, stelt u de vlag in global.tag :

az k8s-extension update --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--set global.tag=1.10.0-mariner

properties: {
  global.tag: '1.10.0-mariner'
}

• Meer informatie over het gebruik van op Mariner gebaseerde afbeeldingen met Dapr.
• Meer informatie over het implementeren van Azure Linux in AKS.

Automatische CRD-updates uitschakelen

Vanaf Dapr versie 1.9.2 worden CRD's automatisch bijgewerkt wanneer de extensie wordt bijgewerkt. Als u deze instelling wilt uitschakelen, kunt u instellen hooks.applyCrds op false.

az k8s-extension update --cluster-type managedClusters \
--cluster-name myAKSCluster \
--resource-group myResourceGroup \
--name dapr \
--configuration-settings "hooks.applyCrds=false"

properties: {
  configurationSettings: {
    'hooks.applyCrds': false
  } 
}

Voldoen aan netwerkvereisten

Voor de Dapr-extensie zijn de volgende uitgaande URL's https://:443 vereist om te kunnen functioneren op AKS en Arc voor Kubernetes:

1. https://mcr.microsoft.com/daprio URL voor het ophalen van Dapr-artefacten.
2. De uitgaande URL's die zijn vereist voor AKS of Arc voor Kubernetes.

Volgende stappen

• Doorloop de zelfstudie voor het implementeren van Dapr Workflow via de extensie
• Migreren van open source van Dapr naar de Dapr-extensie.