مفاهيم التحقق من العنقر في Azure Kubernetes Service (AKS)

تصف هذه المقالة كيف تقوم خدمة Azure Kubernetes Service (AKS) بالتحقق من صحة المتصلين إلى واجهة برمجة تطبيقات Kubernetes — أي من يمكنهم الاتصال بمستوى التحكم. يغطي مسار المصادقة الموصى به باستخدام معرف Microsoft Entra وكيفية تأمين الوصول إلى الزجاج المغلق.

لكيفية تقييم AKS لما يسمح للمتصل المصادق بفعله، انظر مفاهيم تفويض العنقود.

للسيناريوهات الأخرى للهوية في AKS، انظر:

للحصول على توجيه عبر جميع سيناريوهات الهوية الأربعة ل AKS، راجع خيارات الوصول والهوية ل AKS.

المصادقة على خادم واجهة برمجة تطبيقات Kubernetes (مستوى التحكم)

Kubernetes نفسه لا يوفر مجلد هوية. بدون مزود هوية خارجي، ستحتاج إلى إدارة بيانات الاعتماد المحلية لكل عنقود، وهذا لا يتضخم ويخلق فجوات في التدقيق.

نوصي بنشر مجموعات AKS مع مصادقة Microsoft Entra ID لمستوى التحكم. مع هذا التكامل، يقوم العنقود بالتحقق من صحة طلبات واجهة برمجة تطبيقات Kubernetes الواردة مقابل معرف Microsoft Entra ويستخدم هوية Entra الخاصة بالمتصل لاتخاذ قرارات التفويض. يقوم Microsoft Entra ID بمركزة طبقة الهوية — حيث ينعكس أي تغيير في حالة المستخدم أو المجموعة تلقائيا في الوصول إلى المجموعة — ويمكن من الوصول المشروط، والمصادقة متعددة العوامل، وإدارة الهوية المميزة.

مخطط يوضح تكامل Microsoft Entra مع مجموعات AKS للمصادقة.

للعد على الإعدادات، انظر تمكين مصادقة Microsoft Entra ID لمستوى التحكم AKS. لاحظ ما يلي:

  • يجب أن يكون مستأجر Microsoft Entra المهيأ للمصادقة في العنقود هو نفسه المستأجر الذي يحمل مجموعة AKS.
  • لتسجيل الدخول غير التفاعلي أو الإصدارات القديمة kubectl ، استخدم الإضافة kubelogin .

موفرو الهوية الخارجيون (معاينة)

تحتاج بعض المؤسسات إلى مصادقة مستخدمي التجمع باستخدام مزود هوية متوافق مع OIDC غير Microsoft Entra ID — مثل GitHub، Google Workspace، Okta، أو IdP مستضاف ذاتيا. تدعم AKS ذلك من خلال المصادقة الهيكلية، التي تضبط مصادقات JWT الخاصة بخادم Kubernetes API للتحقق من الرموز التي يصدرها مزودك الخارجي.

استخدم هذا الخيار فقط عندما يكون لديك متطلب صارم للحفاظ على هوية العنقود خارج معرف Microsoft Entra ID. بخلاف ذلك، أفضل مسار Microsoft Entra ID لتكامل أكثر ثراء مع الوصول المشروط، والمصادقة متعددة العوامل، وإدارة الهوية المميزة.

للحصول على نظرة عامة، راجع مصادقة مزود الهوية الخارجية لمجموعات AKS. للعداد، انظر تكوين مزودي الهوية الخارجيين باستخدام المصادقة المهيكلة بنظام AKS.

تعطيل الحسابات المحلية

تستخدم الحسابات المحلية شهادة مدير عنقود مدمجة تتجاوز Microsoft Entra ID. أي متصل يمكنه إدراج هذه الشهادة يحصل على وصول كامل لمسؤول العنقود دون المرور عبر Entra ID، مما يخالف التدقيق المركزي، والوصول المشروط، وإدارة الهوية المميزة. في الإنتاج، قم بتعطيل الحسابات المحلية بحيث يتدفق كل الوصول عبر معرف Microsoft Entra ID.

لتطبيق ذلك على نطاق واسع عبر العديد من العناصر، يجب أن يتم تعطيل طرق المصادقة المحلية لمجموعات Azure Policy المدمجة Azure Kubernetes عند نطاق مجموعة اشتراك أو إدارة. تقوم السياسة بمراجعة أو رفض المجموعات التي تم إنشاؤها أو تحديثها مع تفعيل الحسابات المحلية. للاطلاع على القائمة الكاملة للسياسات المدمجة المتعلقة ب AKS، راجع تعريفات Azure Policy المدمجة ل AKS.

للتفاصيل، راجع إدارة الحسابات المحلية في AKS.

التحقق من صحة عقد التجمع

أوضاع الوصول إلى SSH

بعيدا عن المصادقة على واجهة برمجة تطبيقات Kubernetes، قد تحتاج أيضا إلى المصادقة مباشرة إلى عقدة عبر SSH لاستكشاف الأخطاء. يدعم AKS ثلاثة أوضاع وصول SSH تقوم بتعيينها لكل عنقود أو مجموعة عقدة:

  • تعطيل SSH (المعاينة): يمنع وصول SSH إلى العقد بالكامل. يوصى به للإنتاج حيث يتم التحكم في الوصول على مستوى العقدة فقط من خلال kubectl debug أو مسارات Kubernetes الأصلية الأخرى.
  • SSH المستند إلى Microsoft Entra ID (المعاينة): تسجيل الدخول إلى العقد باستخدام هويات Microsoft Entra، دون وجود مفاتيح SSH لإدارتها. هذا الوضع يتوافق مع بقية مصادقة العناصر: يرث الوصول المشروط والمصادقة متعددة العوامل من معرف إنترا، ويدعم الترقية الفورية عبر Azure RBAC وإدارة الهوية المميزة، ويوحد التدقيق من خلال سجلات تسجيل الدخول في معرف إنترا.
  • SSH المستخدم المحلي: الوصول التقليدي القائم على مفتاح SSH. استخدم هذا فقط عندما لا يكون SSH المعتمد على Entra ID خيارا، وقم بتدوير المفاتيح بانتظام.

للاطلاع على خطوات الإعداد وتكوين كل وضع، انظر إدارة الوصول إلى SSH على عقد عنقود AKS.

الخطوات التالية

  • Last updated on