الحصول على وصول آمن لموارد Azure في خدمة Azure Kubernetes باستخدام الوصول الموثوق به

تحتاج العديد من خدمات Azure التي تتكامل مع خدمة Azure Kubernetes (AKS) إلى الوصول إلى خادم Kubernetes API. لتجنب منح وصول مسؤول الخدمات هذه أو جعل مجموعات AKS عامة للوصول إلى الشبكة، يمكنك استخدام ميزة الوصول الموثوق به ل AKS.

تمنح هذه الميزة الخدمات وصولا آمنا إلى خادم AKS API باستخدام النهاية الخلفية ل Azure دون الحاجة إلى نقطة نهاية خاصة. بدلا من الاعتماد على الهويات التي لديها أذونات Microsoft Entra ، يمكن لهذه الميزة استخدام الهوية المدارة المعينة من قبل النظام للمصادقة مع الخدمات والتطبيقات المدارة التي تريد استخدامها مع مجموعات AKS الخاصة بك.

توضح هذه المقالة كيفية الحصول على وصول آمن لخدمات Azure إلى خادم Kubernetes API في AKS باستخدام الوصول الموثوق به.

إشعار

تتوفر واجهة برمجة تطبيقات الوصول الموثوق به بشكل عام. نحن نقدم دعم التوفر العام (GA) ل Azure CLI، ولكنه لا يزال قيد المعاينة ويتطلب استخدام ملحق aks-preview.

نظرة عامة على ميزة الوصول الموثوق به

يعالج الوصول الموثوق به السيناريوهات التالية:

• إذا تم تعيين نطاق IP معتمد أو في مجموعة خاصة، فقد لا تتمكن خدمات Azure من الوصول إلى خادم Kubernetes API ما لم تقم بتنفيذ نموذج وصول نقطة نهاية خاصة.

• لا يتبع منح مسؤول خدمة Azure حق الوصول إلى واجهة برمجة تطبيقات Kubernetes أفضل ممارسات الوصول إلى الامتياز الأقل ويمكن أن يؤدي إلى تصعيد الامتيازات أو مخاطر تسرب بيانات الاعتماد. على سبيل المثال، قد تضطر إلى تنفيذ أذونات خدمة إلى خدمة ذات امتيازات عالية، وهي ليست مثالية في مراجعة التدقيق.

يمكنك استخدام الوصول الموثوق به لمنح موافقة صريحة على الهوية المدارة المعينة من قبل النظام للموارد المسموح بها للوصول إلى مجموعات AKS باستخدام مورد Azure يسمى ربط الدور. تصل موارد Azure إلى مجموعات AKS من خلال بوابة AKS الإقليمية عبر مصادقة الهوية المدارة المعينة من قبل النظام. يتم تعيين أذونات Kubernetes المناسبة عبر مورد Azure يسمى دور. من خلال الوصول الموثوق به، يمكنك الوصول إلى مجموعات AKS ذات التكوينات المختلفة بما في ذلك على سبيل المثال لا الحصر المجموعات الخاصة، والمجموعات التي تم إيقاف تشغيل الحسابات المحلية، ومجموعات Microsoft Entra، ومجموعات نطاق IP المعتمدة.

المتطلبات الأساسية

• حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.
• أنواع الموارد التي تدعم الهوية المدارة المعينة من قبل النظام.
• الإصدار 2.53.0 من Azure CLI أو أحدث. شغّل az --version للعثور على الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI.
• لمعرفة الأدوار التي يجب استخدامها في سيناريوهات مختلفة، راجع هذه المقالات:
  • وصول Azure التعلم الآلي إلى مجموعات AKS مع تكوينات خاصة
  • ما هو النسخ الاحتياطي لخدمة Azure Kubernetes؟
  • تشغيل وضع حاوية بدون عامل

إنشاء نظام مجموعة AKS

في نفس الاشتراك مثل مورد Azure الذي تريد الوصول إلى نظام المجموعة، قم بإنشاء نظام مجموعة AKS.

حدد أدوار الوصول الموثوق به المطلوبة

تعتمد الأدوار التي تحددها على خدمات Azure التي تريد الوصول إلى مجموعة AKS. تساعد خدمات Azure في إنشاء أدوار وروابط أدوار تنشئ الاتصال من خدمة Azure إلى AKS.

للعثور على الأدوار التي تحتاجها، راجع وثائق خدمة Azure التي تريد توصيلها ب AKS. يمكنك أيضا استخدام Azure CLI لسرد الأدوار المتوفرة لخدمة Azure. على سبيل المثال، لسرد أدوار Azure التعلم الآلي، استخدم الأمر التالي:

az aks trustedaccess role list --location $LOCATION

إنشاء ربط دور الوصول الموثوق به

بعد تأكيد الدور الذي يجب استخدامه، استخدم Azure CLI لإنشاء ربط دور وصول موثوق به في نظام مجموعة AKS. ربط الدور يربط دورك المحدد بخدمة Azure.

# Create a Trusted Access role binding in an AKS cluster

az aks trustedaccess rolebinding create  --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME --name $ROLE_BINDING_NAME --source-resource-id $SOURCE_RESOURCE_ID --roles $ROLE_NAME_1,$ROLE_NAME_2

إليك مثال:

# Sample command

az aks trustedaccess rolebinding create --resource-group myResourceGroup --cluster-name myAKSCluster --name test-binding --source-resource-id /subscriptions/000-000-000-000-000/resourceGroups/myResourceGroup/providers/Microsoft.MachineLearningServices/workspaces/MyMachineLearning --roles Microsoft.MachineLearningServices/workspaces/mlworkload

تحديث ربط دور وصول موثوق به موجود

بالنسبة لربط دور موجود يحتوي على خدمة مصدر مقترنة، يمكنك تحديث ربط الدور بأدوار جديدة.

إشعار

يقوم مدير الوظيفة الإضافية بتحديث المجموعات كل خمس دقائق، لذلك قد يستغرق ربط الدور الجديد ما يصل إلى خمس دقائق حتى يصبح ساري المفعول. قبل أن يسري ربط الدور الجديد، لا يزال ربط الدور الحالي يعمل.

يمكنك استخدام az aks trusted access rolebinding list الأمر للتحقق من ربط الدور الحالي.

az aks trustedaccess rolebinding update --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME --name $ROLE_BINDING_NAME --roles $ROLE_NAME_3,$ROLE_NAME_4

إظهار ربط دور الوصول الموثوق به

إظهار ربط دور وصول موثوق به محدد باستخدام az aks trustedaccess rolebinding show الأمر :

az aks trustedaccess rolebinding show --name $ROLE_BINDING_NAME --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME

سرد كافة روابط دور الوصول الموثوق به لنظام مجموعة

سرد كافة روابط دور الوصول الموثوق به لنظام مجموعة باستخدام az aks trustedaccess rolebinding list الأمر :

az aks trustedaccess rolebinding list --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME

حذف ربط دور الوصول الموثوق به لنظام مجموعة

تحذير

يؤدي حذف ربط دور الوصول الموثوق به الموجود إلى قطع اتصال خدمة Azure بمجموعة AKS.

احذف ربط دور وصول موثوق به موجود باستخدام az aks trustedaccess rolebinding delete الأمر :

az aks trustedaccess rolebinding delete --name $ROLE_BINDING_NAME --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME

المحتوى ذو الصلة

• نشر ملحقات نظام المجموعة وإدارتها ل AKS
• نشر ملحق Azure التعلم الآلي على نظام مجموعة Kubernetes الممكنة بواسطة AKS أو Azure Arc
• نشر Azure Backup على نظام مجموعة AKS
• تعيين وضع الحاوية بدون عامل في Microsoft Defender for Cloud لمجموعة AKS