Tworzenie infrastruktury do uruchamiania klastra Bazy danych MongoDB w usłudze Azure Kubernetes Service (AKS)

Tworzenie grupy zasobów

• Utwórz grupę zasobów przy użyciu polecenia az group create.

  az group create --name $MY_RESOURCE_GROUP_NAME --location $MY_LOCATION --output table
  

  Przykładowy wynik:

  Location       Name
  -------------  --------------------------------
  australiaeast  myResourceGroup-rg-australiaeast   
  

Utwórz tożsamość do uzyskania dostępu do tajemnic w Azure Key Vault

W tym kroku utworzysz zarządzaną tożsamość przypisaną użytkownikowi, której External Secrets Operator używa w celu uzyskania dostępu do haseł bazy danych MongoDB przechowywanych w usłudze Azure Key Vault.

• Utwórz tożsamość zarządzaną przypisaną przez użytkownika przy użyciu az identity create polecenia .

  az identity create --name $MY_IDENTITY_NAME --resource-group $MY_RESOURCE_GROUP_NAME --output none
  export MY_IDENTITY_NAME_ID=$(az identity show --name $MY_IDENTITY_NAME -g $MY_RESOURCE_GROUP_NAME --query id -o tsv)
  export MY_IDENTITY_NAME_PRINCIPAL_ID=$(az identity show --name $MY_IDENTITY_NAME -g $MY_RESOURCE_GROUP_NAME --query principalId -o tsv)
  export MY_IDENTITY_NAME_CLIENT_ID=$(az identity show --name $MY_IDENTITY_NAME -g $MY_RESOURCE_GROUP_NAME --query clientId -o tsv)
  

Utwórz instancję Azure Key Vault

• Utwórz wystąpienie usługi Azure Key Vault przy użyciu az keyvault create polecenia .

  az keyvault create --name $MY_KEYVAULT_NAME --resource-group $MY_RESOURCE_GROUP_NAME --location $MY_LOCATION --enable-rbac-authorization false --output table
  export KEYVAULTID=$(az keyvault show --name $MY_KEYVAULT_NAME --query "id" --output tsv)
  export KEYVAULTURL=$(az keyvault show --name $MY_KEYVAULT_NAME --query "properties.vaultUri" --output tsv)
  

  Przykładowy wynik:

  Location       Name            ResourceGroup
  -------------  --------------  --------------------------------
  australiaeast  vault-cjcfc-kv  myResourceGroup-rg-australiaeast
  

Utworzenie wystąpienia usługi Azure Container Registry

• Utwórz wystąpienie usługi Azure Container Registry do przechowywania obrazów kontenerów i zarządzania nimi przy użyciu polecenia az acr create.

  az acr create \
  --name ${MY_ACR_REGISTRY} \
  --resource-group $MY_RESOURCE_GROUP_NAME \
  --sku Premium \
  --location $MY_LOCATION \
  --admin-enabled true \
  --output table
  export MY_ACR_REGISTRY_ID=$(az acr show --name $MY_ACR_REGISTRY --resource-group $MY_RESOURCE_GROUP_NAME --query id -o tsv)
  

  Przykładowy wynik:

  NAME                  RESOURCE GROUP                    LOCATION       SKU      LOGIN SERVER                     CREATION DATE         ADMIN ENABLED
  --------------------  --------------------------------  -------------  -------  -------------------------------  --------------------  ---------------
  mydnsrandomnamecjcfc  myResourceGroup-rg-australiaeast  australiaeast  Premium  mydnsrandomnamecjcfc.azurecr.io  2024-07-01T12:18:34Z  True
  

Tworzenie konta usługi Azure Storage

• Utwórz konto usługi Azure Storage do przechowywania kopii zapasowych bazy danych MongoDB przy użyciu az acr create polecenia .

  az storage account create --name $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME --resource-group $MY_RESOURCE_GROUP_NAME --location $MY_LOCATION --sku Standard_ZRS --output table
  az storage container create --name $AKS_MONGODB_BACKUP_STORAGE_CONTAINER_NAME --account-name $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME --output table
  export AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_KEY=$(az storage account keys list --account-name $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME --query "[0].value" -o tsv)
  az keyvault secret set --vault-name $MY_KEYVAULT_NAME --name AZURE-STORAGE-ACCOUNT-KEY --value $AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_KEY --output none
  

  Przykładowy wynik:

  AccessTier    AllowBlobPublicAccess    AllowCrossTenantReplication    CreationTime                      EnableHttpsTrafficOnly    Kind       Location       MinimumTlsVersion    Name            PrimaryLocation    ProvisioningState    ResourceGroup
  StatusOfPrimary
  ------------  -----------------------  -----------------------------  --------------------------------  ------------------------  ---------  -------------  -------------------  --------------  -----------------  -------------------  --------------------------------  -----------------
  Hot           False                    False                          2024-08-09T07:06:41.727230+00:00  True                      StorageV2  australiaeast  TLS1_0               mongodbsabdibh  australiaeast      Succeeded            myResourceGroup-rg-australiaeast  available
  Created
  ---------
  True
  

Utwórz klaster AKS

W poniższych krokach utworzysz klaster usługi AKS z włączoną tożsamością obciążeniową i wystawcą OpenID Connect (OIDC) aktywowanym. Tożsamość zadania umożliwia kontu usługi Operatora Zewnętrznych Wpisów Tajnych pozwolenie na dostęp do haseł MongoDB przechowywanych w magazynie kluczy.

1. Utwórz klaster AKS przy użyciu polecenia az aks create.

   az aks create \
   --location $MY_LOCATION \
   --name $MY_CLUSTER_NAME \
   --tier standard \
   --resource-group $MY_RESOURCE_GROUP_NAME \
   --network-plugin azure \
   --node-vm-size Standard_DS4_v2 \
   --node-count 1 \
   --nodepool-name systempool \
   --nodepool-tags "pool=system" \
   --auto-upgrade-channel stable \
   --node-os-upgrade-channel NodeImage \
   --attach-acr ${MY_ACR_REGISTRY} \
   --enable-oidc-issuer \
   --enable-workload-identity \
   --zones 1 2 3 \
   --generate-ssh-keys \
   --output none
   

2. Dodaj pulę węzłów użytkownika do klastra AKS przy użyciu polecenia az aks nodepool add. Ta pula węzłów służy do uruchamiania zasobników bazy danych MongoDB.

   az aks nodepool add \
   --resource-group $MY_RESOURCE_GROUP_NAME \
   --cluster-name $MY_CLUSTER_NAME \
   --name mongodbpool \
   --node-vm-size Standard_DS4_v2 \
   --node-count 3 \
   --zones 1 2 3 \
   --mode User \
   --output table
   

   Przykładowy wynik:

   Name        OsType    KubernetesVersion    VmSize           Count    MaxPods    ProvisioningState    Mode
   ----------  --------  -------------------  ---------------  -------  ---------  -------------------  ------
   userpool    Linux     1.28                 Standard_DS4_v2  3        30         Succeeded            User
   

3. Pobierz adres URL wystawcy OIDC do użycia na potrzeby konfiguracji tożsamości obciążenia przy użyciu az aks show polecenia .

   export OIDC_URL=$(az aks show --resource-group $MY_RESOURCE_GROUP_NAME --name $MY_CLUSTER_NAME --query oidcIssuerProfile.issuerUrl -o tsv)
   

4. AcrPull Przypisz rolę do tożsamości kubelet przy az role assignment create użyciu polecenia .

   export KUBELET_IDENTITY=$(az aks show -g $MY_RESOURCE_GROUP_NAME --name $MY_CLUSTER_NAME -o tsv --query identityProfile.kubeletidentity.objectId)
   az role assignment create \
   --assignee ${KUBELET_IDENTITY} \
   --role "AcrPull" \
   --scope ${MY_ACR_REGISTRY_ID} \
   --output none
   

Przekazywanie obrazów platformy Percona do usługi Azure Container Registry

W tej sekcji pobierzesz obrazy Percona z usługi Docker Hub i prześlesz je do usługi Azure Container Registry. Ten krok zapewnia, że obraz jest dostępny w Twoim rejestrze prywatnym i może być używany w klastrze AKS. Nie zalecamy korzystania z obrazu publicznego w środowisku produkcyjnym.

• Zaimportuj obrazy Percona z Docker Hub i prześlij je do Azure Container Registry przy użyciu następujących az acr import poleceń:

  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/percona-server-mongodb:7.0.8-5  \
      --image percona-server-mongodb:7.0.8-5
  
  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/pmm-client:2.41.2  \
      --image pmm-client:2.41.2
  
  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/percona-backup-mongodb:2.4.1  \
      --image percona-backup-mongodb:2.4.1
  
  az acr import \
      --name $MY_ACR_REGISTRY \
      --source docker.io/percona/percona-server-mongodb-operator:1.16.1  \
      --image percona-server-mongodb-operator:1.16.1
  

Wdrażanie infrastruktury za pomocą narzędzia Terraform

Aby wdrożyć infrastrukturę przy użyciu narzędzia Terraform, użyjemy zweryfikowanego modułu platformy Azure dla usługi AKS. Repozytorium terraform-azurerm-avm-res-containerservice-managedcluster zawiera pełny przykład infrastruktury wymaganej do uruchomienia klastra Bazy danych MongoDB w usłudze Azure Kubernetes Service (AKS).

1. Sklonuj repozytorium git za pomocą modułu terraform:

   git clone https://github.com/Azure/terraform-azurerm-avm-res-containerservice-managedcluster.git
   cd examples/stateful-workloads
   

2. Utwórz plik w mongodb.tfvars celu zdefiniowania zmiennych przy użyciu następującego polecenia:

   cat > mongodb.tfvars <<EOL
   location = "$MY_LOCATION"
   resource_group_name = "$MY_RESOURCE_GROUP_NAME"
   acr_registry_name = "$MY_ACR_REGISTRY"
   cluster_name = "$MY_CLUSTER_NAME"
   identity_name = "$MY_IDENTITY_NAME"
   keyvault_name = "$MY_KEYVAULT_NAME"
   aks_mongodb_backup_storage_account_name = "$AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_NAME"
   aks_mongodb_backup_storage_container_name = "$AKS_MONGODB_BACKUP_STORAGE_CONTAINER_NAME"
   mongodb_enabled = true
   mongodb_namespace = "$AKS_MONGODB_NAMESPACE"
   service_account_name = "$SERVICE_ACCOUNT_NAME"
   
   acr_task_content = <<-EOF
   version: v1.1.0
   steps:
     - cmd: bash echo Waiting 10 seconds the propagation of the Container Registry Data Importer and Data Reader role
     - cmd: bash sleep 10
     - cmd: az login --identity
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/percona-server-mongodb:7.0.8-5 --image percona-server-mongodb:7.0.8-5
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/pmm-client:2.41.2 --image pmm-client:2.41.2
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/percona-backup-mongodb:2.4.1 --image percona-backup-mongodb:2.4.1
     - cmd: az acr import --name \$RegistryName --source docker.io/percona/percona-server-mongodb-operator:1.16.1 --image percona-server-mongodb-operator:1.16.1
   EOF
   
   node_pools = {
     mongodbserver = {
       name       = "mongodbpool"
       vm_size    = "Standard_D2ds_v4"
       node_count = 3
       zones      = [1, 2, 3]
       os_type    = "Linux"
     }
   }
   EOL
   

3. Uruchom następujące polecenia narzędzia Terraform, aby wdrożyć infrastrukturę:

   terraform init
   terraform fmt
   terraform apply -var-file="mongodb.tfvars"
   

4. Uruchom następujące polecenie, aby wyeksportować wartości wyjściowe programu Terraform jako zmienne środowiskowe w terminalu, aby użyć ich w następnych krokach:

   export MY_ACR_REGISTRY_ID=$(terraform output -raw acr_registry_id)
   export MY_ACR_REGISTRY=$(terraform output -raw acr_registry_name)
   export MY_CLUSTER_NAME=$(terraform output -raw aks_cluster_name)
   export KUBELET_IDENTITY=$(terraform output -raw aks_kubelet_identity_id)
   export OIDC_URL=$(terraform output -raw aks_oidc_issuer_url)
   export identity_name=$(terraform output -raw identity_name)
   export MY_IDENTITY_NAME_ID=$(terraform output -raw identity_name_id)
   export MY_IDENTITY_NAME_PRINCIPAL_ID=$(terraform output -raw identity_name_principal_id)
   export MY_IDENTITY_NAME_CLIENT_ID=$(terraform output -raw identity_name_client_id)
   export KEYVAULTID=$(terraform output -raw key_vault_id)
   export KEYVAULTURL=$(terraform output -raw key_vault_uri)
   export AKS_MONGODB_BACKUP_STORAGE_ACCOUNT_KEY=$(terraform output -raw storage_account_key)
   export STORAGE_ACCOUNT_NAME=$(terraform output -raw storage_account_name)
   export TENANT_ID=$(terraform output -raw identity_name_tenant_id)