Saltar al contenido principal
Azure es el proveedor validado para Vantage 3.0 autoalojado: Azure Kubernetes Service (AKS) con Azure Key Vault. Esta página ofrece una guía completa, de principio a fin, para la instalación en Azure: requisitos previos, configuración de la identidad, comandos de instalación de Helm y notas operativas. Los componentes individuales ofrecen alternativas nativas de Kubernetes cuando la CRD las admite, como el proveedor Kubernetes Secrets y el almacenamiento personalizado.

Prerrequisitos

Antes de trabajar con esta página, confirme que los prerrequisitos de la plataforma estén listos: Kubernetes, ArgoCD, Helm y los servicios subyacentes de SQL / Redis / SMTP / registro OCI / almacenamiento de objetos. Los elementos específicos de Azure que se indican a continuación se añaden a lo anterior. Deben completarse otras dos tareas de configuración antes de la instalación. Ambas se tratan más adelante, después de las variables de instalación a las que hacen referencia: Conecte ArgoCD a su registro OCI y Acceso para extraer imágenes.

Secretos de Azure Key Vault

El operador de Vantage gestiona los secretos mediante alias. La configuración más sencilla en Azure es crear secretos de Key Vault con nombres que coincidan con cada alias; si su proceso de aprovisionamiento usa nombres distintos, proporcione una asignación de objects en vantage.secrets.azure para volver a asignarlos. La identidad seleccionada por identityMode (consulte Variables de instalación) debe tener acceso de lectura a todos los secretos que se enumeran a continuación. La lista completa de alias (Platform, Storage, Databases, OAuth) se documenta en Secretos y Key Vault. La lista siguiente corresponde al mismo conjunto y se reproduce aquí para la instalación en Azure.

Plataforma

Cadenas de conexión de la cuenta de almacenamiento

Consulte la documentación principal de Vantage para saber qué significa cada tipo de almacenamiento.

Cadenas de conexión de la base de datos

Un alias por cada base de datos diferente. Los nombres de las bases de datos que aparecen a continuación son ilustrativos; use los que genere su proceso de aprovisionamiento, siempre que la cadena de conexión apunte a la base de datos correcta.

OAuth

Secretos TLS de Azure Key Vault

Los siguientes materiales TLS codificados en PEM deben almacenarse como secretos en Azure Key Vault (no como objetos de certificado de Key Vault). La identidad seleccionada por identityMode debe tener acceso de lectura a los cuatro alias de secretos. La forma más sencilla es crear dos certificados autofirmados en Key Vault llamados auth-signing y auth-deactivated (Nombre común = el valor de dnsRecord de Vantage) y, a continuación, crear cuatro secretos de Key Vault con nombres que coincidan con los alias anteriores. Si usa nombres distintos, proporcione un mapeo de objects en la configuración de sus secretos. Para consultar el modelo conceptual de cómo el controlador Secrets Store CSI pone estos secretos a disposición de los pods, consulte Secretos y Key Vault.

Variables de instalación

Tenga a mano estos valores antes de ejecutar los comandos de instalación:

Conecte ArgoCD a su registro OCI

ArgoCD extrae los charts de componentes de Vantage de su registro OCI, así que configure una conexión en ArgoCD para darle acceso a ese registro. ArgoCD es software de terceros que usted instala y mantiene, por lo que debe crear esta conexión usted mismo registrando ese registro como un repositorio de ArgoCD. consulte Private Repositories en la Documentación de ArgoCD. En Azure, el método recomendado es Azure Workload Identity, como se describe en la Documentación de ArgoCD.

Acceso para descargar imágenes

Sus cargas de trabajo necesitan descargar imágenes de su registro. Configure el acceso de descarga de una de estas dos maneras. Los nombres my-pull-secret y my-service-account que aparecen a continuación son solo ejemplos; sustitúyalos por los suyos. Opción 1 (Azure): otorgue AcrPull a la identidad administrada de AKS. Las implementaciones en Azure pueden simplificarse otorgando AcrPull en su Azure Container Registry a la identidad administrada de AKS (la identidad de kubelet), en lugar de configurar pull secrets. Con esto configurado, puede omitir las opciones --set del pull secret en los Pasos 1 y 2. Opción 2: secretos de extracción de imágenes de Kubernetes. Cree un secreto de extracción del registro (documentación de Kubernetes) y luego configúrelo para cada componente: Usted mismo crea y mantiene las asignaciones de roles, las ServiceAccounts y los secretos de extracción.

Paso 1: Instalar el operador de Vantage

Seleccione un namespace para el operador (no tiene que ser app) e instale el chart:
Si usa secretos de extracción en lugar de AcrPull (consulte Acceso para extraer imágenes), anexe:
Consulte los valores del chart vantage-operator para conocer otros valores que puede proporcionar.

Paso 2: Instalar Vantage

Instale el chart vantage-selfhosted en el namespace que elija, con la configuración de secrets y los ajustes de migración de OCI:
Si utiliza secretos de extracción en lugar de AcrPull (consulte acceso de extracción de imágenes), anexe la configuración de extracción para las cargas de trabajo de Vantage y el trabajo de migración:
my-service-account es una ServiceAccount que se crea en $install_namespace con su secreto de extracción del registry incluido en imagePullSecrets. Como alternativa para el trabajo de migración, haga referencia en su lugar al secreto de extracción en la entrada de origen:
SendGrid es el proveedor de correo predeterminado: proporciona una sendgridApiKey en tu Key Vault y no necesitas ninguna otra configuración de correo. Para usar SMTP en su lugar, añade:
vantage.secrets.azure.identityMode usa workloadIdentity de forma predeterminada. Para usar el modelo heredado de identidad de pod o de identidad administrada por VM, consulte Secretos y Key Vault.
Las opciones --set anteriores corresponden directamente a los campos del recurso personalizado de Vantage y del vantage-selfhosted chart.

Paso 3: Supervisar el progreso de la instalación

Espere a que el recurso personalizado de Vantage muestre Ready:
Esta es una señal general; indica que la instalación de Vantage Core se ha completado. La instalación de skills se sigue mediante un trabajo independiente y es posible que aún se esté ejecutando (consulte más abajo). Para obtener una visibilidad más detallada de la migración de artefactos, supervise por separado el trabajo de migración de OCI:
Una vez completada la migración, ArgoCD (API o UI) ofrece la visibilidad más detallada del estado de sincronización de cada chart. La única excepción es la instalación de skills: los skills se instalan mediante un trabajo de Kubernetes independiente que no aparece en ArgoCD. Puede usar Vantage mientras la instalación de skills sigue en curso. Supervise el trabajo directamente:

Paso 4: Accede a Vantage

Una vez que el recurso muestre Ready, la instancia de Vantage estará disponible en:
Es posible que, en este momento, el trabajo del instalador de skill siga en ejecución. Puede iniciar sesión y usar Vantage mientras continúa la instalación del skill; supervise el trabajo con los comandos de Step 3.

Notas operativas específicas de Azure

  • Supervisión: En AKS, el patrón recomendado es Azure Monitor Workspace + Azure Managed Grafana con un Prometheus en la malla que recopila métricas de Vantage a través de Istio mTLS. Consulte Azure Managed Monitoring para conocer la configuración completa.
  • Workload Identity: El modo de autenticación predeterminado del controlador Secrets Store CSI. También es un escenario de autenticación compatible para el trabajo de migración de OCI (Workload Identity + Azure RBAC) y lo utiliza el Prometheus en la malla, que envía métricas a Azure Monitor mediante remote-write. Consulte Secretos y Key Vault.

Siguientes pasos

Arquitectura

Cómo funciona el patrón operador + ArgoCD + CRD.

Monitorización

Azure Monitor Workspace + Managed Grafana con Prometheus en la malla.

Actualización

Flujo de trabajo de actualización manual para pasar de una versión 3.0 de Vantage a otra.

Solución de problemas

Problemas habituales con operador, ArgoCD, Istio y Key Vault.