Passer au contenu principal
Azure est le fournisseur validé pour Vantage 3.0 auto-hébergé : Azure Kubernetes Service (AKS) avec Azure Key Vault. Cette page couvre de bout en bout l’installation sur Azure : prérequis, configuration de l’identité, commandes d’installation Helm et notes opérationnelles. Les différents composants proposent des alternatives natives Kubernetes lorsque la CRD les prend en charge, comme le provider Kubernetes Secrets et le stockage personnalisé.

Prérequis

Avant de suivre cette page, vérifiez que les prérequis de la plateforme sont bien en place : Kubernetes, ArgoCD, Helm, ainsi que les services sous-jacents SQL / Redis / SMTP / registre OCI / stockage d’objets. Les éléments spécifiques à Azure ci-dessous viennent s’y ajouter. Deux autres tâches de configuration doivent être effectuées avant l’installation. Elles sont toutes deux décrites ci-dessous, après les variables d’installation auxquelles elles font référence : Connect ArgoCD to your OCI registry et Image pull access.

Secrets d’Azure Key Vault

Le Vantage operator référence les secrets par alias. La configuration la plus simple sur Azure consiste à créer des secrets Key Vault dont le nom correspond à chaque alias ; si votre processus de provisionnement utilise des noms différents, fournissez une mise en correspondance objects sous vantage.secrets.azure pour les faire correspondre. L’identité sélectionnée par identityMode (voir Variables d’installation) doit avoir un accès en lecture à chaque secret répertorié ci-dessous. La liste complète des alias (Plateforme, Stockage, Bases de données, OAuth) est documentée dans Secrets et Key Vault. La liste ci-dessous reprend le même ensemble, reproduit ici pour l’installation sur Azure.

Plateforme

Chaînes de connexion du compte de stockage

Reportez-vous à la documentation de base de Vantage pour connaître la signification de chaque type de stockage.

Chaînes de connexion de base de données

Un alias par base de données distincte. Les noms de base de données ci-dessous sont fournis à titre d’exemple ; utilisez ceux générés par votre processus de provisionnement, tant que la chaîne de connexion pointe vers la bonne base de données.

OAuth

Secrets TLS d’Azure Key Vault

Les éléments TLS suivants, encodés au format PEM, doivent être stockés en tant que secrets dans Azure Key Vault (et non sous forme d’objets certificat Key Vault). L’identité sélectionnée par identityMode doit disposer d’un accès en lecture aux quatre alias de secrets. L’approche la plus simple consiste à créer deux certificats autosignés dans Key Vault, nommés auth-signing et auth-deactivated (Common Name = la valeur dnsRecord de Vantage), puis à créer quatre secrets Key Vault dont les noms correspondent aux alias ci-dessus. Si vous utilisez des noms différents, fournissez une mise en correspondance objects dans votre configuration des secrets. Pour comprendre le modèle conceptuel expliquant comment le Secrets Store CSI driver rend ces éléments disponibles dans les pods, consultez Secrets and Key Vault.

Variables d’installation

Gardez ces valeurs sous la main avant d’exécuter les commandes d’installation :

Connectez ArgoCD à votre registre OCI

ArgoCD récupère les charts des composants Vantage depuis votre registre OCI. Configurez donc une connexion dans ArgoCD pour lui donner accès à ce registre. ArgoCD est un logiciel tiers que vous installez et maintenez vous-même ; vous devez donc créer cette connexion en enregistrant le registre comme dépôt ArgoCD. Consultez Private Repositories dans la documentation ArgoCD. Sur Azure, la méthode recommandée est Azure Workload Identity, comme indiqué dans la documentation ArgoCD.

Accès de récupération des images

Vos charges de travail doivent récupérer des images depuis votre registre. Configurez cet accès de l’une des deux manières suivantes. Les noms my-pull-secret et my-service-account ci-dessous sont des exemples ; remplacez-les par les vôtres. Option 1 (Azure) : accorder AcrPull à l’identité managée d’AKS. Les déploiements Azure peuvent être simplifiés en accordant AcrPull sur votre Azure Container Registry à l’identité managée d’AKS (l’identité du kubelet), au lieu de configurer des secrets de récupération. Une fois cela en place, vous pouvez ignorer les indicateurs --set du secret de récupération aux étapes 1 et 2. Option 2 : secrets de récupération d’images Kubernetes. Créez un secret de récupération pour le registre (documentation Kubernetes), puis référencez-le pour chaque composant : Vous créez et gérez vous-même les attributions de rôles, les ServiceAccounts et les secrets de récupération.

Étape 1 : Installer Vantage operator

Choisissez un espace de noms pour Vantage operator (il n’est pas nécessaire que ce soit app) et installez le chart :
Si vous utilisez des secrets de récupération au lieu de AcrPull (voir Accès pour l’extraction d’image), ajoutez à la fin :
Consultez les valeurs du chart vantage-operator pour voir les valeurs supplémentaires que vous pouvez spécifier.

Étape 2 : Installer Vantage

Installez le chart vantage-selfhosted dans l’espace de noms de votre choix en indiquant la configuration des secrets et les paramètres de migration OCI :
Si vous utilisez des secrets de récupération au lieu de AcrPull (voir Accès pour l’extraction d’images), ajoutez la configuration d’extraction pour les charges de travail Vantage et le job de migration :
my-service-account est un ServiceAccount que vous créez dans $install_namespace, avec votre secret de récupération du registry indiqué sous imagePullSecrets. Comme alternative pour le job de migration, indiquez plutôt le secret de récupération sur l’entrée source :
SendGrid est le fournisseur de messagerie par défaut : renseignez une sendgridApiKey dans votre Key Vault et aucune configuration de messagerie supplémentaire n’est nécessaire. Pour utiliser SMTP à la place, ajoutez à la fin :
vantage.secrets.azure.identityMode a pour valeur par défaut workloadIdentity. Pour utiliser l’ancien modèle pod-identity ou VM-managed-identity, consultez Secrets and Key Vault.
Les indicateurs --set ci-dessus correspondent directement aux champs de la ressource personnalisée Vantage et du chart vantage-selfhosted.

Étape 3 : Suivre la progression de l’installation

Attendez que la ressource personnalisée Vantage affiche l’état Ready :
Il s’agit d’un signal global ; il indique que l’installation de Vantage Core est terminée. L’installation des Skills fait l’objet d’un job distinct et peut toujours être en cours (voir ci-dessous). Pour un suivi plus fin de la migration des artefacts, surveillez séparément le job de migration OCI :
Une fois la migration terminée, ArgoCD (API ou UI) offre la visibilité la plus fine sur l’état de synchronisation de chaque chart. La seule exception concerne l’installation des compétences : les compétences sont installées par un job Kubernetes distinct qui n’est pas exposé dans ArgoCD. Vous pouvez utiliser Vantage pendant que l’installation des compétences est en cours. Surveillez directement le job :

Étape 4 : Accéder à Vantage

Une fois que la ressource indique Ready, votre instance Vantage est disponible à l’adresse suivante :
Le job d’installation de la compétence est peut-être encore en cours à ce stade. Vous pouvez vous connecter et utiliser Vantage pendant que l’installation de la compétence se poursuit ; surveillez le job à l’aide des commandes de l’étape 3.

Notes opérationnelles spécifiques à Azure

  • Supervision : Sur AKS, le modèle recommandé est Azure Monitor Workspace + Azure Managed Grafana, avec un Prometheus dans le mesh qui collecte les métriques de Vantage via Istio mTLS. Voir Azure Managed Monitoring pour la configuration complète.
  • Workload Identity : Le mode d’authentification par défaut du Secrets Store CSI driver. Il s’agit également d’un scénario d’authentification pris en charge pour le job de migration OCI (Workload Identity + Azure RBAC), et il est utilisé par le Prometheus dans le mesh pour effectuer un remote-write vers Azure Monitor. Voir Secrets and Key Vault.

Et ensuite

Architecture

Comment fonctionne le modèle operator + ArgoCD + CRD.

Monitoring

Azure Monitor Workspace + Managed Grafana avec un Prometheus dans le mesh.

Mise à niveau

Procédure manuelle de mise à niveau pour passer d’une version 3.0 de Vantage à une autre.

Dépannage

Problèmes courants avec operator, ArgoCD, Istio et Key Vault.