Zum Hauptinhalt springen
Azure ist der validierte Provider für Vantage 3.0 selbstgehostet: Azure Kubernetes Service (AKS) mit Azure Key Vault. Diese Seite bietet die vollständige End-to-End-Anleitung für die Installation auf Azure: Voraussetzungen, Einrichtung der Identität, die Helm-Installationsbefehle und Betriebshinweise. Einzelne Komponenten bieten Kubernetes-native Alternativen, sofern die CRD sie unterstützt, etwa den Kubernetes-Secrets-Provider und benutzerdefinierten Speicher.

Voraussetzungen

Bevor Sie diese Seite durcharbeiten, stellen Sie sicher, dass die Plattformvoraussetzungen erfüllt sind: Kubernetes, ArgoCD, Helm sowie die zugrunde liegenden SQL-/Redis-/SMTP-/OCI-Registry-/Objektspeicher-Services. Die unten aufgeführten Azure-spezifischen Elemente kommen zusätzlich hinzu. Vor der Installation müssen noch zwei weitere Einrichtungsschritte durchgeführt werden. Beide werden weiter unten behandelt, nach den Installationsvariablen, auf die sie sich beziehen: Connect ArgoCD to your OCI registry und Image-Pull-Zugriff.

Azure Key Vault-Secrets

Der Vantage operator referenziert Secrets über Aliasse. Die einfachste Konfiguration in Azure besteht darin, Key Vault-Secrets zu erstellen, deren Namen den einzelnen Aliasen entsprechen. Wenn Ihr Bereitstellungsprozess andere Namen verwendet, geben Sie unter vantage.secrets.azure ein objects-Mapping an, um diese Zuordnung anzupassen. Die über identityMode ausgewählte Identität (siehe Installationsvariablen) muss Lesezugriff auf jedes unten aufgeführte Secret haben. Das vollständige Alias-Verzeichnis (Platform, Storage, Databases, OAuth) ist unter Secrets und Key Vault dokumentiert. Die folgende Liste umfasst dieselben Einträge und ist hier für die Azure-Installation nochmals aufgeführt.

Plattform

Verbindungszeichenfolgen für Speicherkonten

Welche Bedeutung die einzelnen Speichertypen haben, finden Sie in der Vantage-Basisdokumentation.

Datenbank-Verbindungszeichenfolgen

Ein Alias pro eindeutiger Datenbank. Die unten aufgeführten Datenbanknamen sind nur Beispiele; verwenden Sie die Namen, die Ihr Bereitstellungsprozess erzeugt, solange die Verbindungszeichenfolge auf die richtige Datenbank verweist.

OAuth

Azure Key Vault TLS-Secrets

Die folgenden TLS-Materialien im PEM-Format müssen als Secrets im Azure Key Vault gespeichert werden (nicht als Key Vault-Zertifikatobjekte). Die über identityMode ausgewählte Identität muss Lesezugriff auf alle vier Secret-Aliasse haben. Am einfachsten erstellen Sie zwei selbstsignierte Zertifikate im Key Vault mit den Namen auth-signing und auth-deactivated (Common Name = Wert Ihres Vantage-dnsRecord) und anschließend vier Key Vault-Secrets, deren Namen den obigen Aliasen entsprechen. Wenn Sie andere Namen verwenden, geben Sie in Ihrer Secrets-Konfiguration ein objects-Mapping an. Eine konzeptionelle Beschreibung, wie der Secrets Store CSI driver diese in Pods verfügbar macht, finden Sie unter Secrets und Key Vault.

Installationsvariablen

Halten Sie diese Werte bereit, bevor Sie die Installationsbefehle ausführen:

ArgoCD mit Ihrer OCI-Registry verbinden

ArgoCD ruft Vantage-Komponenten-Charts aus Ihrer OCI-Registry ab. Richten Sie daher in ArgoCD eine Verbindung ein, die Zugriff auf diese Registry gewährt. ArgoCD ist Software von Drittanbietern, die Sie selbst installieren und warten. Daher müssen Sie diese Verbindung selbst erstellen, indem Sie die Registry als ArgoCD-Repository registrieren. Siehe Private Repositories in der ArgoCD-Dokumentation. Unter Azure ist die empfohlene Methode Azure Workload Identity, wie in der ArgoCD-Dokumentation beschrieben.

Image-Pull-Zugriff

Ihre Workloads müssen Images aus Ihrer Registry abrufen. Konfigurieren Sie den Zugriff dafür auf eine von zwei Arten. Die Namen my-pull-secret und my-service-account unten sind Beispielnamen; ersetzen Sie sie durch Ihre eigenen. Option 1 (Azure): Weisen Sie der von AKS verwalteten Identität AcrPull zu. Azure-Bereitstellungen lassen sich vereinfachen, indem Sie der von AKS verwalteten Identität (der kubelet-Identität) für Ihre Azure Container Registry AcrPull zuweisen, statt Pull-Secrets zu konfigurieren. In diesem Fall können Sie die Pull-Secret---set-Flags in Schritt 1 und 2 weglassen. Option 2: Kubernetes-Image-Pull-Secrets. Erstellen Sie ein Registry-Pull-Secret (Kubernetes-Dokumentation) und binden Sie es dann pro Komponente ein: Sie erstellen und verwalten die Rollenzuweisungen, ServiceAccounts und Pull-Secrets selbst.

Schritt 1: Installieren Sie den Vantage Operator

Wählen Sie einen Namespace für den Operator aus (er muss nicht app sein) und installieren Sie das Chart:
Wenn Sie Pull-Secrets anstelle von AcrPull verwenden (siehe Image-Pull-Zugriff), fügen Sie Folgendes an:
Weitere Werte, die Sie angeben können, finden Sie in den Werten des vantage-operator-Charts.

Schritt 2: Vantage installieren

Installieren Sie das Chart vantage-selfhosted in Ihrem ausgewählten Namespace und geben Sie dabei die Secrets-Konfiguration sowie die Einstellungen für die OCI-Migration an:
Wenn Sie statt AcrPull Pull-Secrets verwenden (siehe Image-Pull-Zugriff), fügen Sie die Pull-Konfiguration für die Vantage-Workloads und den Migrationsjob hinzu:
my-service-account ist ein ServiceAccount, den Sie in $install_namespace erstellen und bei dem Ihr Registry-Pull-Secret unter imagePullSecrets aufgeführt ist. Alternativ können Sie für den Migration-Job stattdessen beim Source-Eintrag auf das Pull-Secret verweisen:
SendGrid ist der Standard-Mail-Provider: Hinterlegen Sie einen sendgridApiKey in Ihrem Key Vault; eine weitere Mail-Konfiguration ist nicht erforderlich. Wenn Sie stattdessen SMTP verwenden möchten, fügen Sie Folgendes an:
vantage.secrets.azure.identityMode ist standardmäßig auf workloadIdentity festgelegt. Informationen zur Verwendung des veralteten Modells pod-identity oder VM-managed-identity finden Sie unter Secrets und Key Vault.
Die obigen --set-Flags entsprechen direkt den Feldern in der Vantage Custom-Resource und im vantage-selfhosted-Chart.

Schritt 3: Installationsfortschritt überwachen

Warten Sie, bis die Vantage-Custom-Resource den Status Ready meldet:
Dies ist das grobgranulare Signal; es zeigt an, dass die Installation von Vantage Core abgeschlossen ist. Die Skill-Installation wird in einem separaten Job nachverfolgt und läuft möglicherweise noch (siehe unten). Für einen detaillierteren Einblick in die Artefaktmigration überwachen Sie den OCI-Migrationsjob separat:
Sobald die Migration abgeschlossen ist, bietet ArgoCD (API oder UI) den besten Einblick in den Synchronisierungsstatus der einzelnen Charts. Die einzige Ausnahme ist die Skill-Installation: Skills werden über einen separaten Kubernetes-Job installiert, der in ArgoCD nicht angezeigt wird. Sie können Vantage verwenden, während die Skill-Installation noch läuft. Überwachen Sie den Job direkt:

Schritt 4: Auf Vantage zugreifen

Sobald die Ressource Ready anzeigt, ist Ihre Vantage-Instanz unter folgender Adresse verfügbar:
Der Skill-Installationsauftrag wird zu diesem Zeitpunkt möglicherweise noch ausgeführt. Sie können sich anmelden und Vantage verwenden, während die Skill-Installation noch läuft. Überwachen Sie den Auftrag mit den Befehlen in Schritt 3.

Azure-spezifische Betriebshinweise

  • Überwachung: Auf AKS ist die empfohlene Konfiguration Azure Monitor Workspace + Azure Managed Grafana mit einem In-mesh Prometheus, der Vantage über Istio mTLS abruft. Die vollständige Einrichtung finden Sie unter Azure Managed Monitoring.
  • Workload Identity: Der Standard-Authentifizierungsmodus für den Secrets Store CSI driver. Außerdem ein unterstütztes Authentifizierungsszenario für den OCI-Migrationsjob (Workload Identity + Azure RBAC) und wird auch vom In-mesh Prometheus verwendet, der per remote-write an Azure Monitor schreibt. Siehe Secrets und Key Vault.

Wie es weitergeht

Architektur

So funktioniert das Operator-, ArgoCD- und CRD-Muster.

Überwachung

Azure Monitor Workspace + Managed Grafana mit einem In-mesh Prometheus.

Upgrade

Manueller Upgrade-Workflow für den Wechsel zwischen Vantage 3.0-Versionen.

Fehlerbehebung

Häufige Probleme mit dem Operator, ArgoCD, Istio und Key Vault.