الحصول على وصول آمن لموارد Azure في خدمة Azure Kubernetes باستخدام الوصول الموثوق به
تحتاج العديد من خدمات Azure التي تتكامل مع خدمة Azure Kubernetes (AKS) إلى الوصول إلى خادم Kubernetes API. لتجنب منح وصول مسؤول الخدمات هذه أو جعل مجموعات AKS عامة للوصول إلى الشبكة، يمكنك استخدام ميزة الوصول الموثوق به ل AKS.
تمنح هذه الميزة الخدمات وصولا آمنا إلى خادم AKS API باستخدام النهاية الخلفية ل Azure دون الحاجة إلى نقطة نهاية خاصة. بدلا من الاعتماد على الهويات التي لديها أذونات Microsoft Entra ، يمكن لهذه الميزة استخدام الهوية المدارة المعينة من قبل النظام للمصادقة مع الخدمات والتطبيقات المدارة التي تريد استخدامها مع مجموعات AKS الخاصة بك.
توضح هذه المقالة كيفية الحصول على وصول آمن لخدمات Azure إلى خادم Kubernetes API في AKS باستخدام الوصول الموثوق به.
إشعار
تتوفر واجهة برمجة تطبيقات الوصول الموثوق به بشكل عام. نحن نقدم دعم التوفر العام (GA) ل Azure CLI، ولكنه لا يزال قيد المعاينة ويتطلب استخدام ملحق aks-preview.
نظرة عامة على ميزة الوصول الموثوق به
يعالج الوصول الموثوق به السيناريوهات التالية:
إذا تم تعيين نطاق IP معتمد أو في مجموعة خاصة، فقد لا تتمكن خدمات Azure من الوصول إلى خادم Kubernetes API ما لم تقم بتنفيذ نموذج وصول نقطة نهاية خاصة.
لا يتبع منح مسؤول خدمة Azure حق الوصول إلى واجهة برمجة تطبيقات Kubernetes أفضل ممارسات الوصول إلى الامتياز الأقل ويمكن أن يؤدي إلى تصعيد الامتيازات أو مخاطر تسرب بيانات الاعتماد. على سبيل المثال، قد تضطر إلى تنفيذ أذونات خدمة إلى خدمة ذات امتيازات عالية، وهي ليست مثالية في مراجعة التدقيق.
يمكنك استخدام الوصول الموثوق به لمنح موافقة صريحة على الهوية المدارة المعينة من قبل النظام للموارد المسموح بها للوصول إلى مجموعات AKS باستخدام مورد Azure يسمى ربط الدور. تصل موارد Azure إلى مجموعات AKS من خلال بوابة AKS الإقليمية عبر مصادقة الهوية المدارة المعينة من قبل النظام. يتم تعيين أذونات Kubernetes المناسبة عبر مورد Azure يسمى دور. من خلال الوصول الموثوق به، يمكنك الوصول إلى مجموعات AKS ذات التكوينات المختلفة بما في ذلك على سبيل المثال لا الحصر المجموعات الخاصة، والمجموعات التي تم إيقاف تشغيل الحسابات المحلية، ومجموعات Microsoft Entra، ومجموعات نطاق IP المعتمدة.
المتطلبات الأساسية
- حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.
- أنواع الموارد التي تدعم الهوية المدارة المعينة من قبل النظام.
- الإصدار 2.53.0 من Azure CLI أو أحدث. شغّل
az --version
للعثور على الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI. - لمعرفة الأدوار التي يجب استخدامها في سيناريوهات مختلفة، راجع هذه المقالات:
إنشاء نظام مجموعة AKS
في نفس الاشتراك مثل مورد Azure الذي تريد الوصول إلى نظام المجموعة، قم بإنشاء نظام مجموعة AKS.
حدد أدوار الوصول الموثوق به المطلوبة
تعتمد الأدوار التي تحددها على خدمات Azure التي تريد الوصول إلى مجموعة AKS. تساعد خدمات Azure في إنشاء أدوار وروابط أدوار تنشئ الاتصال من خدمة Azure إلى AKS.
للعثور على الأدوار التي تحتاجها، راجع وثائق خدمة Azure التي تريد توصيلها ب AKS. يمكنك أيضا استخدام Azure CLI لسرد الأدوار المتوفرة لخدمة Azure. على سبيل المثال، لسرد أدوار Azure التعلم الآلي، استخدم الأمر التالي:
az aks trustedaccess role list --location $LOCATION
إنشاء ربط دور الوصول الموثوق به
بعد تأكيد الدور الذي يجب استخدامه، استخدم Azure CLI لإنشاء ربط دور وصول موثوق به في نظام مجموعة AKS. ربط الدور يربط دورك المحدد بخدمة Azure.
# Create a Trusted Access role binding in an AKS cluster
az aks trustedaccess rolebinding create --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME --name $ROLE_BINDING_NAME --source-resource-id $SOURCE_RESOURCE_ID --roles $ROLE_NAME_1,$ROLE_NAME_2
إليك مثال:
# Sample command
az aks trustedaccess rolebinding create --resource-group myResourceGroup --cluster-name myAKSCluster --name test-binding --source-resource-id /subscriptions/000-000-000-000-000/resourceGroups/myResourceGroup/providers/Microsoft.MachineLearningServices/workspaces/MyMachineLearning --roles Microsoft.MachineLearningServices/workspaces/mlworkload
تحديث ربط دور وصول موثوق به موجود
بالنسبة لربط دور موجود يحتوي على خدمة مصدر مقترنة، يمكنك تحديث ربط الدور بأدوار جديدة.
إشعار
يقوم مدير الوظيفة الإضافية بتحديث المجموعات كل خمس دقائق، لذلك قد يستغرق ربط الدور الجديد ما يصل إلى خمس دقائق حتى يصبح ساري المفعول. قبل أن يسري ربط الدور الجديد، لا يزال ربط الدور الحالي يعمل.
يمكنك استخدام az aks trusted access rolebinding list
الأمر للتحقق من ربط الدور الحالي.
az aks trustedaccess rolebinding update --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME --name $ROLE_BINDING_NAME --roles $ROLE_NAME_3,$ROLE_NAME_4
إظهار ربط دور الوصول الموثوق به
إظهار ربط دور وصول موثوق به محدد باستخدام az aks trustedaccess rolebinding show
الأمر :
az aks trustedaccess rolebinding show --name $ROLE_BINDING_NAME --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME
سرد كافة روابط دور الوصول الموثوق به لنظام مجموعة
سرد كافة روابط دور الوصول الموثوق به لنظام مجموعة باستخدام az aks trustedaccess rolebinding list
الأمر :
az aks trustedaccess rolebinding list --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME
حذف ربط دور الوصول الموثوق به لنظام مجموعة
تحذير
يؤدي حذف ربط دور الوصول الموثوق به الموجود إلى قطع اتصال خدمة Azure بمجموعة AKS.
احذف ربط دور وصول موثوق به موجود باستخدام az aks trustedaccess rolebinding delete
الأمر :
az aks trustedaccess rolebinding delete --name $ROLE_BINDING_NAME --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME
المحتوى ذو الصلة
Azure Kubernetes Service