Langkau ke kandungan utama

Langkah 7 - Pasang dan konfigurasikan komponen prasyarat

Kini setelah anda mempunyai akses kepada carta Helm, ia boleh digunakan.

  • Mula-mula pasang komponen prasyarat.
helm upgrade --install rabbitmq-cluster-operator oci://glasswallhub.azurecr.io/docker/bitnamicharts/rabbitmq-cluster-operator \
  --atomic \
  --version 4.4.34 \
  --set global.imageRegistry=glasswallhub.azurecr.io \
  --set global.imagePullSecrets[0]=acr-secret \
  --set global.security.allowInsecureImages=true \
  --set msgTopologyOperator.fullnameOverride=rabbitmq-messaging-topology-operator \
  --set clusterOperator.image.repository="cgr.dev/rabbitmq-cluster-operator" \
  --set clusterOperator.image.tag=2.17.0 \
  --set msgTopologyOperator.image.repository="cgr.dev/rabbitmq-messaging-topology-operator" \
  --set msgTopologyOperator.image.tag=1.18.3 \
  --set credentialUpdaterImage.repository="cgr.dev/rabbitmq-default-user-credential-updater" \
  --set credentialUpdaterImage.tag=1.0.12 \
  --set rabbitmqImage.repository="cgr.dev/rabbitmq" \
  --set rabbitmqImage.tag=4.2.6 \
  --set clusterOperator.watchAllNamespaces=false \
  --set clusterOperator.watchNamespaces={cdrplatform} \
  --set msgTopologyOperator.watchAllNamespaces=false \
  --set msgTopologyOperator.watchNamespaces={cdrplatform} \
  --set clusterOperator.resources.requests.cpu=100m \
  --set clusterOperator.resources.requests.memory=256Mi \
  --set clusterOperator.resources.limits.cpu=100m \
  --set clusterOperator.resources.limits.memory=256Mi \
  --set msgTopologyOperator.resources.requests.cpu=100m \
  --set msgTopologyOperator.resources.requests.memory=256Mi \
  --set msgTopologyOperator.resources.limits.cpu=100m \
  --set msgTopologyOperator.resources.limits.memory=256Mi

helm upgrade --install keda "oci://glasswallhub.azurecr.io/ghcr/home-operations/charts-mirror/keda" --atomic \
  --set global.image.registry="glasswallhub.azurecr.io" \
  --set imagePullSecrets[0].name=acr-secret \
  --set image.keda.repository="cgr.dev/keda" \
  --set image.keda.tag=2.19.0 \
  --set image.metricsApiServer.repository="cgr.dev/keda-metrics-apiserver" \
  --set image.metricsApiServer.tag=2.19.0 \
  --set image.webhooks.repository="cgr.dev/keda-admission-webhooks" \
  --set image.webhooks.tag=2.19.0 \
  --version 2.19.0

helm upgrade --install nginx-ingress oci://glasswallhub.azurecr.io/k8s/ingress-nginx/charts/ingress-nginx --atomic \
  --set imagePullSecrets[0].name=acr-secret \
  --set global.image.registry="glasswallhub.azurecr.io" \
  --set controller.image.image="cgr.dev/ingress-nginx-controller" \
  --set controller.image.tag=1.14.4-nginx.1.27 \
  --set controller.admissionWebhooks.patch.image.image="cgr.dev/kube-webhook-certgen" \
  --set controller.admissionWebhooks.patch.image.tag=1.14.4 \
  --set controller.image.digest="" \
  --set controller.admissionWebhooks.patch.image.digest="" \
  --set controller.service.annotations."service\.beta\.kubernetes\.io/azure-load-balancer-health-probe-request-path"=/healthz \
  --version v4.15.0

helm upgrade --install external-secrets oci://glasswallhub.azurecr.io/ghcr/external-secrets/charts/external-secrets \
  --atomic \
  --set imagePullSecrets[0].name=acr-secret \
  --set webhook.imagePullSecrets[0].name=acr-secret \
  --set certController.imagePullSecrets[0].name=acr-secret \
  --set image.repository="glasswallhub.azurecr.io/cgr.dev/external-secrets" \
  --set image.tag=2.1.0 \
  --set webhook.image.repository="glasswallhub.azurecr.io/cgr.dev/external-secrets" \
  --set webhook.image.tag=2.1.0 \
  --set certController.image.repository="glasswallhub.azurecr.io/cgr.dev/external-secrets" \
  --set certController.image.tag=2.1.0 \
  --version 2.1.0 \
  --set installCRDs=true

Nota: apabila menaik taraf carta Helm rabbitmq-cluster-operator, CRD tidak akan dipasang. Jika CRD baharu diperkenalkan dalam keluaran baharu, CRD tersebut perlu dipasang secara manual untuk mengelakkan isu dengan pod operator kluster RabbitMQ yang sedang berjalan.

helm pull oci://glasswallhub.azurecr.io/docker/bitnamicharts/rabbitmq-cluster-operator --untar
kubectl apply -f rabbitmq-cluster-operator/crds/
  • Kemudian, pasang komponen sokongan.
helm upgrade --install cdrplatform-storage cdrplatform-storage

helm upgrade --install cdrplatform-rabbitmq cdrplatform-rabbitmq \
  --set image.registry=glasswallhub.azurecr.io \
  --set image.tag="2.18.1-183506" \
  --set cloud_provider=azure

Untuk langkah seterusnya, pilih kaedah yang sama yang anda gunakan untuk mengkonfigurasi akses anda kepada Key Vault dalam Langkah 4 (Managed identity atau Service principal), dan ikuti langkah yang sepadan di bawah untuk mengkonfigurasi external secrets serta memasang penyegerakan rahsia.

7A - Managed identity

  • Dapatkan Kubelet Managed Identity Client ID melalui arahan berikut.
az aks show -g "${rgp}" -n "${aksname}"

  • Cari elemen yang sama seperti sebelum ini iaitu "identityProfile/kubeletidentity" tetapi kali ini anda memerlukan nilai Client ID.

  • Seterusnya, pasang komponen sokongan (pastikan ${kvname} digantikan dengan nama Key Vault dan ${MIclientID} digantikan dengan nilai yang diperoleh di atas):

helm upgrade --install cdrplatform-external-secrets cdrplatform-external-secrets \
  --set cloud_providers.azurekv.enabled=true \
  --set cloud_providers.azurekv.vaultUrl="https://${kvname}.vault.azure.net" \
  --set cloud_providers.azurekv.clientId=${MIclientID}
Pengguna Kerajaan AS

Gunakan arahan berikut apabila membuat deployment ke Azure US Government.

Tetapan ini memastikan endpoint dan nilai persekitaran yang betul digunakan:

helm upgrade --install cdrplatform-external-secrets cdrplatform-external-secrets \
  --set cloud_providers.azurekv.enabled=true \
  --set cloud_providers.azurekv.vaultUrl="https://${kvname}.vault.usgovcloudapi.net" \
  --set cloud_providers.azurekv.clientId=${MIclientID} \
  --set cloud_providers.azurekv.environmentType=USGovernmentCloud

OR

7B - Service principal

Sebagai tambahan kepada 'ClientID' dan 'ClientSecret' yang anda tetapkan dalam langkah Service principal sebelumnya, anda juga perlu memasukkan 'tenantId' bagi Service principal tersebut. 'tenantID' boleh didapati dalam Azure Active Directory.

  • Setelah diperoleh, masukkan arahan berikut untuk memasang cdrplatform external secrets agar menggunakan Service principal yang dikehendaki.
helm upgrade --install cdrplatform-external-secrets cdrplatform-external-secrets --create-namespace \
  --set cloud_providers.azurekv.enabled=true \
  --set cloud_providers.azurekv.authType=ServicePrincipal \
  --set cloud_providers.azurekv.tenantId=${tenantid} \
  --set cloud_providers.azurekv.authSecretRef.clientId.name=keyvault-service-principal \
  --set cloud_providers.azurekv.authSecretRef.clientId.key=ClientID \
  --set cloud_providers.azurekv.authSecretRef.clientSecret.name=keyvault-service-principal \
  --set cloud_providers.azurekv.authSecretRef.clientSecret.key=ClientSecret \
  --set cloud_providers.azurekv.vaultUrl="https://"${kvname}".vault.azure.net"
Pengguna Azure US Government

Gunakan arahan berikut semasa membuat deployment ke Azure US Gov.

Tetapan ini memastikan endpoint dan nilai persekitaran yang betul digunakan

helm upgrade --install cdrplatform-external-secrets cdrplatform-external-secrets --create-namespace \
  --set cloud_providers.azurekv.enabled=true \
  --set cloud_providers.azurekv.authType=ServicePrincipal \
  --set cloud_providers.azurekv.tenantId=${tenantid} \
  --set cloud_providers.azurekv.authSecretRef.clientId.name=keyvault-service-principal \
  --set cloud_providers.azurekv.authSecretRef.clientId.key=ClientID \
  --set cloud_providers.azurekv.authSecretRef.clientSecret.name=keyvault-service-principal \
  --set cloud_providers.azurekv.authSecretRef.clientSecret.key=ClientSecret \
  --set cloud_providers.azurekv.vaultUrl="https://"${kvname}".vault.usgovcloudapi.net" \
  --set cloud_providers.azurekv.environmentType=USGovernmentCloud

Teruskan

Perlukan bantuan?

Terakhir dikemas kini pada