Voraussetzungen
Vor der Installation müssen noch zwei weitere Einrichtungsschritte durchgeführt werden. Beide werden weiter unten behandelt, nach den Installationsvariablen, auf die sie sich beziehen: Connect ArgoCD to your OCI registry und Image-Pull-Zugriff.
Azure Key Vault-Secrets
vantage.secrets.azure ein objects-Mapping an, um diese Zuordnung anzupassen. Die über identityMode ausgewählte Identität (siehe Installationsvariablen) muss Lesezugriff auf jedes unten aufgeführte Secret haben.
Das vollständige Alias-Verzeichnis (Platform, Storage, Databases, OAuth) ist unter Secrets und Key Vault dokumentiert. Die folgende Liste umfasst dieselben Einträge und ist hier für die Azure-Installation nochmals aufgeführt.
Plattform
Verbindungszeichenfolgen für Speicherkonten
Welche Bedeutung die einzelnen Speichertypen haben, finden Sie in der Vantage-Basisdokumentation.
Datenbank-Verbindungszeichenfolgen
OAuth
Azure Key Vault TLS-Secrets
identityMode ausgewählte Identität muss Lesezugriff auf alle vier Secret-Aliasse haben.
Am einfachsten erstellen Sie zwei selbstsignierte Zertifikate im Key Vault mit den Namen
auth-signing und auth-deactivated (Common Name = Wert Ihres Vantage-dnsRecord) und anschließend vier Key Vault-Secrets, deren Namen den obigen Aliasen entsprechen. Wenn Sie andere Namen verwenden, geben Sie in Ihrer Secrets-Konfiguration ein objects-Mapping an.
Eine konzeptionelle Beschreibung, wie der Secrets Store CSI driver diese in Pods verfügbar macht, finden Sie unter Secrets und Key Vault.
Installationsvariablen
ArgoCD mit Ihrer OCI-Registry verbinden
Image-Pull-Zugriff
my-pull-secret und my-service-account unten sind Beispielnamen; ersetzen Sie sie durch Ihre eigenen.
Option 1 (Azure): Weisen Sie der von AKS verwalteten Identität AcrPull zu. Azure-Bereitstellungen lassen sich vereinfachen, indem Sie der von AKS verwalteten Identität (der kubelet-Identität) für Ihre Azure Container Registry AcrPull zuweisen, statt Pull-Secrets zu konfigurieren. In diesem Fall können Sie die Pull-Secret---set-Flags in Schritt 1 und 2 weglassen.
Option 2: Kubernetes-Image-Pull-Secrets. Erstellen Sie ein Registry-Pull-Secret (Kubernetes-Dokumentation) und binden Sie es dann pro Komponente ein:
Sie erstellen und verwalten die Rollenzuweisungen, ServiceAccounts und Pull-Secrets selbst.
Schritt 1: Installieren Sie den Vantage Operator
app sein) und installieren Sie das Chart:
AcrPull verwenden (siehe Image-Pull-Zugriff), fügen Sie Folgendes an:
vantage-operator-Charts.
Schritt 2: Vantage installieren
vantage-selfhosted in Ihrem ausgewählten Namespace und geben Sie dabei die Secrets-Konfiguration sowie die Einstellungen für die OCI-Migration an:
AcrPull Pull-Secrets verwenden (siehe Image-Pull-Zugriff), fügen Sie die Pull-Konfiguration für die Vantage-Workloads und den Migrationsjob hinzu:
my-service-account ist ein ServiceAccount, den Sie in $install_namespace erstellen und bei dem Ihr Registry-Pull-Secret unter imagePullSecrets aufgeführt ist. Alternativ können Sie für den Migration-Job stattdessen beim Source-Eintrag auf das Pull-Secret verweisen:
sendgridApiKey in Ihrem Key Vault; eine weitere Mail-Konfiguration ist nicht erforderlich. Wenn Sie stattdessen SMTP verwenden möchten, fügen Sie Folgendes an:
vantage.secrets.azure.identityMode ist standardmäßig auf workloadIdentity festgelegt. Informationen zur Verwendung des veralteten Modells pod-identity oder VM-managed-identity finden Sie unter Secrets und Key Vault.--set-Flags entsprechen direkt den Feldern in der Vantage Custom-Resource und im vantage-selfhosted-Chart.
Schritt 3: Installationsfortschritt überwachen
Ready meldet:
Schritt 4: Auf Vantage zugreifen
Ready anzeigt, ist Ihre Vantage-Instanz unter folgender Adresse verfügbar:
Der Skill-Installationsauftrag wird zu diesem Zeitpunkt möglicherweise noch ausgeführt. Sie können sich anmelden und Vantage verwenden, während die Skill-Installation noch läuft. Überwachen Sie den Auftrag mit den Befehlen in Schritt 3.
Azure-spezifische Betriebshinweise
- Überwachung: Auf AKS ist die empfohlene Konfiguration Azure Monitor Workspace + Azure Managed Grafana mit einem In-mesh Prometheus, der Vantage über Istio mTLS abruft. Die vollständige Einrichtung finden Sie unter Azure Managed Monitoring.
- Workload Identity: Der Standard-Authentifizierungsmodus für den Secrets Store CSI driver. Außerdem ein unterstütztes Authentifizierungsszenario für den OCI-Migrationsjob (Workload Identity + Azure RBAC) und wird auch vom In-mesh Prometheus verwendet, der per remote-write an Azure Monitor schreibt. Siehe Secrets und Key Vault.
Wie es weitergeht
Architektur
So funktioniert das Operator-, ArgoCD- und CRD-Muster.
Überwachung
Azure Monitor Workspace + Managed Grafana mit einem In-mesh Prometheus.
Upgrade
Manueller Upgrade-Workflow für den Wechsel zwischen Vantage 3.0-Versionen.
Fehlerbehebung
Häufige Probleme mit dem Operator, ArgoCD, Istio und Key Vault.
