Prerrequisitos
Deben completarse otras dos tareas de configuración antes de la instalación. Ambas se tratan más adelante, después de las variables de instalación a las que hacen referencia: Conecte ArgoCD a su registro OCI y Acceso para extraer imágenes.
Secretos de Azure Key Vault
objects en vantage.secrets.azure para volver a asignarlos. La identidad seleccionada por identityMode (consulte Variables de instalación) debe tener acceso de lectura a todos los secretos que se enumeran a continuación.
La lista completa de alias (Platform, Storage, Databases, OAuth) se documenta en Secretos y Key Vault. La lista siguiente corresponde al mismo conjunto y se reproduce aquí para la instalación en Azure.
Plataforma
Cadenas de conexión de la cuenta de almacenamiento
Consulte la documentación principal de Vantage para saber qué significa cada tipo de almacenamiento.
Cadenas de conexión de la base de datos
OAuth
Secretos TLS de Azure Key Vault
identityMode debe tener acceso de lectura a los cuatro alias de secretos.
La forma más sencilla es crear dos certificados autofirmados en Key Vault llamados
auth-signing y auth-deactivated (Nombre común = el valor de dnsRecord de Vantage) y, a continuación, crear cuatro secretos de Key Vault con nombres que coincidan con los alias anteriores. Si usa nombres distintos, proporcione un mapeo de objects en la configuración de sus secretos.
Para consultar el modelo conceptual de cómo el controlador Secrets Store CSI pone estos secretos a disposición de los pods, consulte Secretos y Key Vault.
Variables de instalación
Conecte ArgoCD a su registro OCI
Acceso para descargar imágenes
my-pull-secret y my-service-account que aparecen a continuación son solo ejemplos; sustitúyalos por los suyos.
Opción 1 (Azure): otorgue AcrPull a la identidad administrada de AKS. Las implementaciones en Azure pueden simplificarse otorgando AcrPull en su Azure Container Registry a la identidad administrada de AKS (la identidad de kubelet), en lugar de configurar pull secrets. Con esto configurado, puede omitir las opciones --set del pull secret en los Pasos 1 y 2.
Opción 2: secretos de extracción de imágenes de Kubernetes. Cree un secreto de extracción del registro (documentación de Kubernetes) y luego configúrelo para cada componente:
Usted mismo crea y mantiene las asignaciones de roles, las ServiceAccounts y los secretos de extracción.
Paso 1: Instalar el operador de Vantage
app) e instale el chart:
AcrPull (consulte Acceso para extraer imágenes), anexe:
vantage-operator para conocer otros valores que puede proporcionar.
Paso 2: Instalar Vantage
vantage-selfhosted en el namespace que elija, con la configuración de secrets y los ajustes de migración de OCI:
secretos de extracción en lugar de AcrPull (consulte acceso de extracción de imágenes), anexe la configuración de extracción para las cargas de trabajo de Vantage y el trabajo de migración:
my-service-account es una ServiceAccount que se crea en $install_namespace con su secreto de extracción del registry incluido en imagePullSecrets. Como alternativa para el trabajo de migración, haga referencia en su lugar al secreto de extracción en la entrada de origen:
sendgridApiKey en tu Key Vault y no necesitas ninguna otra configuración de correo. Para usar SMTP en su lugar, añade:
vantage.secrets.azure.identityMode usa workloadIdentity de forma predeterminada. Para usar el modelo heredado de identidad de pod o de identidad administrada por VM, consulte Secretos y Key Vault.--set anteriores corresponden directamente a los campos del recurso personalizado de Vantage y del vantage-selfhosted chart.
Paso 3: Supervisar el progreso de la instalación
Ready:
Paso 4: Accede a Vantage
Ready, la instancia de Vantage estará disponible en:
Es posible que, en este momento, el trabajo del instalador de skill siga en ejecución. Puede iniciar sesión y usar Vantage mientras continúa la instalación del skill; supervise el trabajo con los comandos de Step 3.
Notas operativas específicas de Azure
- Supervisión: En AKS, el patrón recomendado es Azure Monitor Workspace + Azure Managed Grafana con un Prometheus en la malla que recopila métricas de Vantage a través de Istio mTLS. Consulte Azure Managed Monitoring para conocer la configuración completa.
- Workload Identity: El modo de autenticación predeterminado del controlador Secrets Store CSI. También es un escenario de autenticación compatible para el trabajo de migración de OCI (Workload Identity + Azure RBAC) y lo utiliza el Prometheus en la malla, que envía métricas a Azure Monitor mediante remote-write. Consulte Secretos y Key Vault.
Siguientes pasos
Arquitectura
Cómo funciona el patrón operador + ArgoCD + CRD.
Monitorización
Azure Monitor Workspace + Managed Grafana con Prometheus en la malla.
Actualización
Flujo de trabajo de actualización manual para pasar de una versión 3.0 de Vantage a otra.
Solución de problemas
Problemas habituales con operador, ArgoCD, Istio y Key Vault.
