系统要求

命名空间

ArcGIS Enterprise on Kubernetes 需要自己专有的命名空间。 必须在运行部署脚本之前创建命名空间。 ArcGIS Enterprise on Kubernetes 的每个部署也都需要专有的命名空间。

基于角色的访问控制

必须在 Kubernetes 集群上启用基于角色的访问控制 (RBAC)。 您无需 cluster-admin 权限即可部署 ArcGIS Enterprise on Kubernetes。 如果您没有 cluster-admin 权限，则用户必须拥有最小命名空间管理权限。 您可以通过在命名空间中创建 RoleBinding 将 defaultClusterRole admin 分配给用户。

Pod 安全策略（OpenShift 中的安全上下文限制）和虚拟内存

ArcGIS Enterprise on Kubernetes 可部署 Elasticsearch 以支持 ArcGIS Enterprise 组织的各种要素。 默认情况下，Elasticsearch 使用 mmapfs 目录来存储所需索引。 默认的操作系统 mmap 计数限制可能不足以执行部署操作。 Elasticsearch 建议使用默认 vm.max_map_count 值 262144。 要更改默认值，每个节点都需要高级 (root) 权限。

根据 Kubernetes 集群允许容器以特权还是非特权方式运行，您需要执行以下操作。

• 以特权方式运行 - ArcGIS Enterprise on Kubernetes 将在运行 Elasticsearch 的节点上运行特权初始化容器，并且不需要执行其他操作。
• 以非特权方式运行 - 如果您的 Kubernetes 集群已定义 Pod 安全性，并且不允许容器以特权方式运行，则可以使用以下选项。
  • 选项 1 - ArcGIS Enterprise on Kubernetes 部署脚本可在其命名空间下创建服务帐户以运行容器。 默认服务帐户为 arcgis-admin-serviceaccount。 如果集群包含 Pod 安全策略，则必须允许服务帐户以特权方式运行容器。 对于 OpenShift，您可以通过在用户部分中添加以下内容来向该服务帐户授予访问特权安全上下文限制的权限。
    “-system:serviceaccount: <Namespace>:arcgis-admin-serviceaccount"
    

  • 选项 2 - 如果无法向服务帐户授予以特权方式运行容器的权限，则必须通过以 root 身份运行以下命令来手动准备每个节点：
    sysctl -w vm.max_map_count=262144
    

如果使用 Kubernetes NetworkPolicies，请确保在 ArcGIS Enterprise 命名空间中允许不间断的 Pod 到 Pod 和 Pod 到服务的通信。

此外，确保命名空间中的 Pod 有权访问 Kubernetes API 服务器。 可通过默认命名空间中名为 Kubernetes 的服务访问 API 服务器。 ArcGIS Enterprise pod 使用完全限定域名 (FQDN) kubernetes.default.svc.cluster.local 查询 API 服务器。

完全限定域名

ArcGIS Enterprise on Kubernetes 需要 FQDN（例如 map.company.com）。 您可以使用现有域名系统 (DNS) 创建域名，也可以使用 Cloud DNS 服务（例如 Amazon Route 53）。 您可以在部署后创建 DNS 记录，但是在部署期间必须提供其值。 在此版本中，您在部署后无法修改 FQDN。

负载均衡器

您需要使用负载均衡器将流量引入每个工作节点。 使用 AKS 或 EKS 时，可以从部署脚本配置以下负载均衡器，而无需进行手动配置：

• Azure 负载均衡器（公共或内部）- 可以在部署脚本中指定预配置的静态公共 IP 地址和 DNS 标注。
• AWS 网络负载均衡器（面向 Internet 或内部）- 可以使用其他负载均衡服务；但是，必须在每个集群节点上手动对其进行配置。

在 OpenShift 容器平台中，可以在指向入口控制器服务时配置路径。

您可以使用自我管理的负载均衡器，该负载均衡器指向入口控制器服务的 NodePort 上的工作节点。 有关详细信息，请参阅负载均衡器的部署指南的参数描述。

使用自我管理负载均衡器或反向代理（如 NGINX）时，请指定以下连接：proxy_set_header X-Forwarded-Host $host;。 要确保将流量正确路由到您 ArcGIS Enterprise 组织的 URL，需要使用此标题。

静态 PV

如果要在部署之前配置静态 PV，则建议使用下述规范和标注。

提供了每个架构配置文件所需的 PV 数量。

使用设置向导配置组织时，以下规范（卷名、大小、应用程序和层）可用于卷绑定；但是，您可以根据需要对其进行自定义。

动态 PV

对于动态配置，需要 StorageClass。

StorageClass 上的 reclaimPolicy 参数必须设置为 retain。

• 对于 AKS，StorageClass 定义（高级 Azure 磁盘）的示例如下所示：
  kind: StorageClass 
  apiVersion: storage.k8s.io/v1 
  metadata: 
    name: arcgis-storage-default 
  provisioner: kubernetes.io/azure-disk 
  parameters: 
    kind: Managed 
    storageaccounttype: Premium_LRS 
  reclaimPolicy: Retain
  allowVolumeExpansion: true
  volumeBindingMode: WaitForFirstConsumer
  

• 对于 EKS，StorageClass 定义（GP2 类型 EBS 卷）的示例如下所示：
  kind: StorageClass 
  apiVersion: storage.k8s.io/v1 
  metadata: 
    name: arcgis-storage-default  
  provisioner: kubernetes.io/aws-ebs 
  parameters: 
    fsType: ext4 
    type: gp2 
  reclaimPolicy: Retain
  allowVolumeExpansion: true
  volumeBindingMode: WaitForFirstConsumer
  

您还可以使用随 AKS 或 EKS 集群提供的默认存储类。 在 AKS 中，这些存储类为默认（Azure 磁盘）或托管高级存储类。 在 EKS 中，这是 GP2 存储类。

部署后存储要求

部署后，将对项目包 PV 使用其他存储要求以执行升级和扩展 Portal API 部署，如下所述。

您在部署期间配置的预置存储类型将用于确定升级和扩展的要求：

• 动态 PV - 存储由软件扩展和调整，前提是有足够的满足存储类规范的可用存储。
• 静态 PV - 管理员需要提供具有与部署期间指定规范相同规范（标注、大小和访问模式）的其他项目包 PV，以支持扩展和升级工作流。

升级

在升级之前，已为组织的 Portal API 部署中的每个 Pod 配置一个项目包 PV。 在准备升级时，必须为 Portal API 部署中的每个 Pod 配置一个额外 PV。

例如，如果在升级之前，Portal API 部署配置了三个正在运行的 Pod，则必须使用与部署期间指定规范等效的规范来提供和配置六个 PV。

升级完成后，Portal API 部署将使用新配置的永久卷和永久卷声明，并且可以移除原始设置。

扩展 Portal API

要扩展 Portal API 部署（以增加参与 Pod 的数量），添加到部署中的每个附加 Pod 都需要一个额外的项目包 PV。 例如，如果组织需要三个 Pod 用于 Portal API 部署，则必须使用与部署期间指定规范等效的规范来提供和配置至少三个项目包 PV。