إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تقدم هذه المقالة نظرة عامة على الهويات المدارة المعينة من قبل النظام والمستخدمين في AKS، بما في ذلك كيفية عملها، وتعيين الأدوار، وميزات الهوية المدارة الخاصة ب AKS.]
لمزيد من المعلومات حول الهويات المدارة في Azure، راجع وثائق الهويات المدارة لموارد Azure.
ملاحظة
تغطي الهويات المدارة سيناريو الهوية من العنقود إلى Azure في AKS — كيف يعمل عنقود AKS على Azure لإدارة الموارد نيابة عنك. بالنسبة لسيناريوهات الهوية الأخرى (المصادقة والتفويض في مستوى التحكم، وهوية عبء العمل من البودي إلى الأزرور)، راجع خيارات الوصول والهوية ل AKS.
ملاحظة
تختلف أنواع الهويات المعينة من قبل النظام والمعينة من قبل المستخدم عن هوية حمل العمل، والتي هي مخصصة للاستخدام بواسطة تطبيق يعمل على جراب.
تدفق تفويض الهوية المدارة AKS
تستخدم مجموعات AKS الهويات المدارة المعينة من قبل النظام أو المعينة من قبل المستخدم لطلب الرموز المميزة من Microsoft Entra. تساعد هذه الرموز المميزة في تفويض الوصول إلى الموارد الأخرى التي تعمل في Azure. يمكنك تعيين دور التحكم في الوصول المستند إلى دور Azure (Azure RBAC) للهوية المدارة لمنحه أذونات لمورد Azure معين. على سبيل المثال، يمكنك منح أذونات لهوية مدارة للوصول إلى الأسرار في مخزن مفاتيح Azure لاستخدامها من قبل نظام المجموعة.
سلوك الهوية المدارة في AKS
عند نشر نظام مجموعة AKS، يتم إنشاء هوية مدارة معينة من قبل النظام لك بشكل افتراضي. يمكنك أيضا إنشاء نظام المجموعة بهوية مدارة معينة من قبل المستخدم، أو تحديث نظام مجموعة موجود إلى نوع مختلف من الهوية المدارة.
إذا كانت نظام المجموعة الخاص بك يستخدم بالفعل هوية مدارة وقمت بتغيير نوع الهوية (على سبيل المثال، من معين من قبل النظام إلى معين من قبل المستخدم)، فهناك تأخير أثناء تبديل مكونات مستوى التحكم إلى الهوية الجديدة. تستمر مكونات مستوى التحكم في استخدام الهوية القديمة حتى تنتهي صلاحية الرمز المميز الخاص بها. بعد تحديث الرمز المميز، ينتقلون إلى الهوية الجديدة. يمكن أن تستغرق هذه العملية عدة ساعات.
ملاحظة
من الممكن أيضا إنشاء نظام مجموعة باستخدام كيان خدمة تطبيق بدلا من هوية مدارة. ومع ذلك، نوصي باستخدام هوية مدارة عبر كيان خدمة التطبيق للأمان وسهولة الاستخدام. إذا كان لديك نظام مجموعة موجود يستخدم كيان خدمة تطبيق، فيمكنك تحديثه لاستخدام هوية مدارة.
إدارة الهوية وبيانات الاعتماد في AKS
يدير النظام الأساسي Azure كلا من الهويات المدارة المعينة من قبل النظام والمعين من قبل المستخدم وبيانات اعتمادها، بحيث يمكنك تخويل الوصول من تطبيقاتك دون الحاجة إلى توفير أي أسرار أو تدويرها.
الهوية المُدارة التي يُعيّنها النظام
يلخص الجدول التالي الخصائص الرئيسية للهوية المدارة المعينة من قبل النظام في AKS:
| خلق | دورة الحياة | المشاركة عبر الموارد | حالات الاستخدام الشائعة |
|---|---|---|---|
| تم إنشاؤه كجزء من مورد Azure، مثل نظام مجموعة AKS | مرتبط بدورة حياة المورد الأصل ، لذلك يتم حذفه عند حذف المورد الأصلي | يمكن إقرانها بمورد واحد فقط | • أحمال العمل المضمنة في مورد Azure واحد • أعباء العمل التي تتطلب هويات مستقلة |
الهوية المُدارة التي يعيّنها المُستخدم
يلخص الجدول التالي الخصائص الرئيسية للهوية المدارة المعينة من قبل المستخدم في AKS:
| خلق | دورة الحياة | المشاركة عبر الموارد | حالات الاستخدام الشائعة |
|---|---|---|---|
| تم إنشاؤه كمورد Azure مستقل، ويجب أن يكون موجودا قبل إنشاء نظام المجموعة | بغض النظر عن دورة حياة أي مورد محدد ، لذلك يتطلب الحذف اليدوي إذا لم تعد هناك حاجة | يمكن مشاركتها عبر موارد متعددة | • أحمال العمل التي تعمل على موارد متعددة ويمكنها مشاركة هوية واحدة • أحمال العمل التي تتطلب تفويضا مسبقا لمورد آمن كجزء من عملية التوفير • أحمال العمل حيث يتم إعادة تدوير الموارد بشكل متكرر ولكنها تحتاج إلى أذونات متسقة |
هوية kubelet المدارة التي تم إنشاؤها مسبقا
الهوية المدارة kubelet التي تم إنشاؤها مسبقا هي هوية اختيارية معينة من قبل المستخدم يمكن ل kubelet استخدامها للوصول إلى الموارد الأخرى في Azure. تتيح هذه الميزة سيناريوهات مثل الاتصال بسجل حاوية Azure (ACR) أثناء إنشاء نظام المجموعة. إذا لم تحدد هوية مدارة معينة من قبل المستخدم ل kubelet، فإن AKS ينشئ هوية kubelet معينة من قبل المستخدم في مجموعة موارد العقدة. بالنسبة لهوية kubelet المعينة من قبل المستخدم خارج مجموعة موارد عقدة العامل الافتراضية، تحتاج إلى تعيين دور مشغل الهوية المدارة على هوية kubelet للهوية المدارة لمستوى التحكم.
تعيينات الأدوار للهويات المدارة في AKS
يمكنك تعيين دور Azure RBAC لهوية مدارة لمنح أذونات نظام المجموعة على مورد Azure آخر. يدعم Azure RBAC كلا من تعريفات الأدوار المضمنة والمخصصة التي تحدد مستويات الأذونات. لتعيين دور، راجع خطوات تعيين دور Azure.
عند تعيين دور Azure RBAC لهوية مدارة، يجب تحديد نطاق الدور. بشكل عام، من أفضل الممارسات قصر نطاق الدور إلى الحد الأدنى من الامتيازات التي تتطلبها الهوية المدارة. لمزيد من المعلومات حول تحديد نطاق أدوار Azure RBAC، راجع فهم نطاق Azure RBAC.
تعيينات دور الهوية المدارة لمستوى التحكم
عند إنشاء واستخدام الشبكة الظاهرية الخاصة بك أو أقراص Azure المرفقة أو عنوان IP الثابت أو جدول التوجيه أو هوية kubelet المعينة من قبل المستخدم حيث تكون الموارد خارج مجموعة موارد عقدة العامل، يضيف Azure CLI تعيين الدور تلقائيا. إذا كنت تستخدم قالب ARM أو طريقة أخرى، فاستخدم المعرف الأساسي للهوية المدارة لتنفيذ تعيين دور.
إذا كنت لا تستخدم Azure CLI، ولكنك تستخدم الشبكة الظاهرية الخاصة بك، أو أقراص Azure المرفقة، أو عنوان IP الثابت، أو جدول التوجيه، أو هوية kubelet المعينة من قبل المستخدم خارج مجموعة موارد عقدة العامل، فإننا نوصي باستخدام هوية مدارة معينة من قبل المستخدم لمستوى التحكم.
عندما يستخدم مستوى التحكم هوية مدارة معينة من قبل النظام، يتم إنشاء الهوية في نفس الوقت مع نظام المجموعة، لذلك لا يمكن تنفيذ تعيين الدور إلا بعد إنشاء نظام المجموعة.
ملخص الهويات المدارة التي تستخدمها AKS
يستخدم AKS العديد من الهويات المدارة للخدمات المضمنة والوظائف الإضافية. يلخص الجدول التالي الهويات المدارة التي تستخدمها AKS، وحالات استخدامها، والأذونات الافتراضية، وما إذا كان يمكنك إحضار هويتك الخاصة:
| الهوية | الاسم | حالة الاستخدام | الأذونات الافتراضية | أحضر هويتك الخاصة |
|---|---|---|---|---|
| وحدة التحكم | اسم نظام مجموعة AKS | تستخدم من قبل مكونات مستوى التحكم AKS لإدارة موارد نظام المجموعة بما في ذلك موازنات تحميل الدخول وعناوين IP العامة المدارة من قبل AKS والتحجيم التلقائي لنظام المجموعة وقرص Azure وملف وبرامج تشغيل Blob CSI | دور المساهم لمجموعة موارد العقدة | مدعوم |
| كوبيليت | AKS اسم نظام المجموعة وكيل | المصادقة باستخدام Azure Container Registry (ACR) | غير متاح للإصدار 1.15 من Kubernetes والإصدارات الأحدث | مدعوم |
| الوظيفة الإضافية | AzureNPM | لا حاجة للهوية | غير متوفر | Unsupported |
| الوظيفة الإضافية | مراقبة شبكة AzureCNI | لا حاجة للهوية | غير متوفر | Unsupported |
| الوظيفة الإضافية | نهج Azure (GateKeeper) | لا حاجة للهوية | غير متوفر | Unsupported |
| الوظيفة الإضافية | Calico | لا حاجة للهوية | غير متوفر | Unsupported |
| الوظيفة الإضافية | توجيه التطبيق | إدارة شهادات Azure DNS وAzure Key Vault | دور مستخدم أسرار مخزن المفاتيح لمخزن المفاتيح، ودور مساهم منطقة DNS لمناطق DNS، ودور مساهم منطقة DNS الخاصة لمناطق DNS الخاصة | Unsupported |
| الوظيفة الإضافية | HTTPApplicationRouting | يدير موارد الشبكة المطلوبة | دور القارئ لمجموعة موارد العقدة، دور المساهم لمنطقة DNS | Unsupported |
| الوظيفة الإضافية | بوابة تطبيق الدخول | يدير موارد الشبكة المطلوبة | دور المساهم لمجموعة موارد العقدة | Unsupported |
| الوظيفة الإضافية | أومسجنت | تستخدم لإرسال مقاييس AKS إلى Azure Monitor | مراقبة مقاييس دور الناشر | Unsupported |
| الوظيفة الإضافية | Virtual-Node (ACIConnctor) | إدارة موارد الشبكة المطلوبة لمثيلات حاوية Azure (ACI) | دور المساهم لمجموعة موارد العقدة | Unsupported |
| الوظيفة الإضافية | تحليل التكلفة | يستخدم لجمع بيانات تخصيص التكلفة | غير متوفر | مدعوم |
| هوية حمل العمل | معرف حمل عمل Microsoft Entra | تمكين التطبيقات من الوصول إلى موارد السحابة بشكل آمن باستخدام معرف حمل العمل Microsoft Entra | غير متوفر | Unsupported |
الخطوة التالية
فعل نوع الهوية المدارة المرغوب في مجموعة AKS جديدة أو موجودة باستخدام الأدلة التالية: