Prérequis
Deux autres tâches de configuration doivent être effectuées avant l’installation. Elles sont toutes deux décrites ci-dessous, après les variables d’installation auxquelles elles font référence : Connect ArgoCD to your OCI registry et Image pull access.
Secrets d’Azure Key Vault
objects sous vantage.secrets.azure pour les faire correspondre. L’identité sélectionnée par identityMode (voir Variables d’installation) doit avoir un accès en lecture à chaque secret répertorié ci-dessous.
La liste complète des alias (Plateforme, Stockage, Bases de données, OAuth) est documentée dans Secrets et Key Vault. La liste ci-dessous reprend le même ensemble, reproduit ici pour l’installation sur Azure.
Plateforme
Chaînes de connexion du compte de stockage
Reportez-vous à la documentation de base de Vantage pour connaître la signification de chaque type de stockage.
Chaînes de connexion de base de données
OAuth
Secrets TLS d’Azure Key Vault
identityMode doit disposer d’un accès en lecture aux quatre alias de secrets.
L’approche la plus simple consiste à créer deux certificats autosignés dans Key Vault, nommés
auth-signing et auth-deactivated (Common Name = la valeur dnsRecord de Vantage), puis à créer quatre secrets Key Vault dont les noms correspondent aux alias ci-dessus. Si vous utilisez des noms différents, fournissez une mise en correspondance objects dans votre configuration des secrets.
Pour comprendre le modèle conceptuel expliquant comment le Secrets Store CSI driver rend ces éléments disponibles dans les pods, consultez Secrets and Key Vault.
Variables d’installation
Connectez ArgoCD à votre registre OCI
Accès de récupération des images
my-pull-secret et my-service-account ci-dessous sont des exemples ; remplacez-les par les vôtres.
Option 1 (Azure) : accorder AcrPull à l’identité managée d’AKS. Les déploiements Azure peuvent être simplifiés en accordant AcrPull sur votre Azure Container Registry à l’identité managée d’AKS (l’identité du kubelet), au lieu de configurer des secrets de récupération. Une fois cela en place, vous pouvez ignorer les indicateurs --set du secret de récupération aux étapes 1 et 2.
Option 2 : secrets de récupération d’images Kubernetes. Créez un secret de récupération pour le registre (documentation Kubernetes), puis référencez-le pour chaque composant :
Vous créez et gérez vous-même les attributions de rôles, les ServiceAccounts et les secrets de récupération.
Étape 1 : Installer Vantage operator
app) et installez le chart :
AcrPull (voir Accès pour l’extraction d’image), ajoutez à la fin :
vantage-operator pour voir les valeurs supplémentaires que vous pouvez spécifier.
Étape 2 : Installer Vantage
vantage-selfhosted dans l’espace de noms de votre choix en indiquant la configuration des secrets et les paramètres de migration OCI :
AcrPull (voir Accès pour l’extraction d’images), ajoutez la configuration d’extraction pour les charges de travail Vantage et le job de migration :
my-service-account est un ServiceAccount que vous créez dans $install_namespace, avec votre secret de récupération du registry indiqué sous imagePullSecrets. Comme alternative pour le job de migration, indiquez plutôt le secret de récupération sur l’entrée source :
sendgridApiKey dans votre Key Vault et aucune configuration de messagerie supplémentaire n’est nécessaire. Pour utiliser SMTP à la place, ajoutez à la fin :
vantage.secrets.azure.identityMode a pour valeur par défaut workloadIdentity. Pour utiliser l’ancien modèle pod-identity ou VM-managed-identity, consultez Secrets and Key Vault.--set ci-dessus correspondent directement aux champs de la ressource personnalisée Vantage et du chart vantage-selfhosted.
Étape 3 : Suivre la progression de l’installation
Ready :
Étape 4 : Accéder à Vantage
Ready, votre instance Vantage est disponible à l’adresse suivante :
Le job d’installation de la compétence est peut-être encore en cours à ce stade. Vous pouvez vous connecter et utiliser Vantage pendant que l’installation de la compétence se poursuit ; surveillez le job à l’aide des commandes de l’étape 3.
Notes opérationnelles spécifiques à Azure
- Supervision : Sur AKS, le modèle recommandé est Azure Monitor Workspace + Azure Managed Grafana, avec un Prometheus dans le mesh qui collecte les métriques de Vantage via Istio mTLS. Voir Azure Managed Monitoring pour la configuration complète.
- Workload Identity : Le mode d’authentification par défaut du Secrets Store CSI driver. Il s’agit également d’un scénario d’authentification pris en charge pour le job de migration OCI (Workload Identity + Azure RBAC), et il est utilisé par le Prometheus dans le mesh pour effectuer un remote-write vers Azure Monitor. Voir Secrets and Key Vault.
Et ensuite
Architecture
Comment fonctionne le modèle operator + ArgoCD + CRD.
Monitoring
Azure Monitor Workspace + Managed Grafana avec un Prometheus dans le mesh.
Mise à niveau
Procédure manuelle de mise à niveau pour passer d’une version 3.0 de Vantage à une autre.
Dépannage
Problèmes courants avec operator, ArgoCD, Istio et Key Vault.
