تكوين البيانات المباشرة في نتائج تحليلات الحاوية

  • مقالة

لعرض البيانات المباشرة باستخدام نتائج تحليلات الحاوية من مجموعات Azure Kubernetes Service (AKS)، قم بتكوين المصادقة لمنح الإذن للوصول إلى بيانات Kubernetes الخاصة بك. يسمح تكوين الأمان هذا بالوصول إلى بياناتك في الوقت الحقيقي من خلال واجهة برمجة تطبيقات Kubernetes مباشرة في مدخل Azure.

تدعم هذه الميزة الطرق التالية للتحكم في الوصول إلى السجلات والأحداث والمقاييس:

  • تمكين تخويل التحكم في الوصول المستند إلى الدور (RBAC) من AKS دون Kubernetes
  • تمكين AKS مع تخويل Kubernetes RBAC
  • تمكين AKS باستخدام تسجيل الدخول الأحادي المستند إلى Microsoft Entra SAML

تتطلب هذه الإرشادات الوصول الإداري إلى مجموعة Kubernetes الخاصة بك. إذا كنت تقوم بتكوين لاستخدام معرف Microsoft Entra لمصادقة المستخدم، فستحتاج أيضا إلى الوصول الإداري إلى معرف Microsoft Entra.

تشرح هذه المقالة كيفية تكوين المصادقة للتحكم في الوصول إلى ميزة Live Data من المجموعة:

  • نظام مجموعة AKS الممكن ل Kubernetes RBAC
  • مجموعة AKS المتكاملة من Microsoft Entra

نموذج المصادقة

تستخدم ميزة البيانات المباشرة واجهة برمجة تطبيقات Kubernetes، وهي مطابقة لأداة kubectl سطر الأوامر. تستخدم نقاط نهاية Kubernetes API شهادة موقعة ذاتيا، والتي لن يتمكن المستعرض من التحقق من صحتها. تستخدم هذه الميزة وكيلا داخليا للتحقق من صحة الشهادة باستخدام خدمة AKS، مما يضمن موثوقية نسبة استخدام الشبكة.

يطالبك مدخل Microsoft Azure بالتحقق من صحة بيانات اعتماد تسجيل الدخول الخاصة بك لنظام مجموعة معرف Microsoft Entra. يعيد توجيهك إلى إعداد تسجيل العميل أثناء إنشاء نظام المجموعة (وإعادة تكوينه في هذه المقالة). يشبه هذا السلوك عملية المصادقة المطلوبة من قبل kubectl.

إشعار

تتم إدارة التخويل إلى نظام المجموعة الخاص بك بواسطة Kubernetes ونموذج الأمان الذي تم تكوينه به. يحتاج المستخدمون الذين يصلون إلى هذه الميزة إلى إذن لتنزيل تكوين Kubernetes (kubeconfig)، والذي يشبه تشغيل az aks get-credentials -n {your cluster name} -g {your resource group}.

يحتوي ملف التكوين هذا على رمز التخويل والمصادقة المميز لدور مستخدم نظام مجموعة خدمة Azure Kubernetes، في حالة تمكين Azure RBAC ومجموعات AKS دون تمكين تخويل Kubernetes RBAC. يحتوي على معلومات حول معرف Microsoft Entra وتفاصيل تسجيل العميل عند تمكين AKS باستخدام تسجيل الدخول الأحادي المستند إلى Microsoft Entra SAML.

يتطلب مستخدمو هذه الميزة دور مستخدم نظام مجموعة Azure Kubernetes للوصول إلى نظام المجموعة لتنزيل هذه الميزة kubeconfig واستخدامها. لا يتطلب المستخدمون وصول المساهم إلى نظام المجموعة لاستخدام هذه الميزة.

استخدام clusterMonitoringUser مع مجموعات Kubernetes RBAC الممكنة

لإزالة الحاجة إلى تطبيق المزيد من تغييرات التكوين للسماح لنظام مجموعة ربط دور مستخدم Kubernetes بوصول المستخدم إلى ميزة البيانات المباشرة بعد تمكين تخويل Kubernetes RBAC ، أضافت AKS ربط دور نظام مجموعة Kubernetes جديد يسمى clusterMonitoringUser. يحتوي ربط دور نظام المجموعة هذا على جميع الأذونات الضرورية خارج المربع للوصول إلى واجهة برمجة تطبيقات Kubernetes ونقاط النهاية لاستخدام ميزة البيانات المباشرة.

لاستخدام ميزة البيانات المباشرة مع هذا المستخدم الجديد، يجب أن تكون عضوا في دور مستخدم نظام مجموعة خدمة Azure Kubernetes أو دور المساهم في مورد نظام مجموعة AKS. يتم تكوين نتائج تحليلات الحاوية، عند تمكينها، للمصادقة باستخدام clusterMonitoringUser افتراضيا. clusterMonitoringUser إذا لم يكن ربط الدور موجودا على نظام مجموعة، يتم استخدام clusterUser للمصادقة بدلا من ذلك. يمنحك المساهم حق الوصول إلى clusterMonitoringUser (إذا كان موجودا)، ويمنحك مستخدم نظام مجموعة خدمة Azure Kubernetes حق الوصول إلى clusterUser. يمنحك أي من هذين الدورين حق الوصول الكافي لاستخدام هذه الميزة.

أصدرت AKS ربط الدور الجديد هذا في يناير 2020، لذلك لا تحتوي المجموعات التي تم إنشاؤها قبل يناير 2020 عليها. إذا كان لديك نظام مجموعة تم إنشاؤه قبل يناير 2020، يمكن إضافة clusterMonitoringUser الجديد إلى نظام مجموعة موجود عن طريق تنفيذ عملية PUT على نظام المجموعة. أو يمكنك تنفيذ أي عملية أخرى على نظام المجموعة التي تنفذ عملية PUT على نظام المجموعة، مثل تحديث إصدار نظام المجموعة.

نظام مجموعة Kubernetes دون تمكين التحكم في الوصول استناداً إلى الدور من Kubernetes

إذا كان لديك نظام مجموعة Kubernetes لم يتم تكوينه بتخويل Kubernetes RBAC أو متكامل مع تسجيل الدخول الأحادي إلى Microsoft Entra، فلن تحتاج إلى اتباع هذه الخطوات. لديك بالفعل أذونات إدارية بشكل افتراضي في تكوين غير RBAC.

تكوين تخويل التحكم في الوصول استناداً إلى الدور من Kubernetes

عند تمكين تخويل Kubernetes RBAC، يتم استخدام clusterUser و cluster مسؤول للوصول إلى واجهة برمجة تطبيقات Kubernetes. يشبه هذا التكوين التشغيل az aks get-credentials -n {cluster_name} -g {rg_name} بدون الخيار الإداري. لهذا السبب، يجب منح clusterUser حق الوصول إلى نقاط النهاية في واجهة برمجة تطبيقات Kubernetes.

توضح خطوات المثال التالية كيفية تكوين ربط دور نظام المجموعة من قالب تكوين YAML هذا.

  1. انسخ ملف YAML والصقه واحفظه باسم LogReaderRBAC.yaml.

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
   name: containerHealth-log-reader
rules:
    - apiGroups: ["", "metrics.k8s.io", "extensions", "apps"]
      resources:
         - "pods/log"
         - "events"
         - "nodes"
         - "pods"
         - "deployments"
         - "replicasets"
      verbs: ["get", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
   name: containerHealth-read-logs-global
roleRef:
   kind: ClusterRole
   name: containerHealth-log-reader
   apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: clusterUser
  apiGroup: rbac.authorization.k8s.io

  2. لتحديث التكوين الخاص بك، قم بتشغيل الأمر kubectl apply -f LogReaderRBAC.yaml.

إشعار

إذا قمت بتطبيق إصدار سابق من ملف LogReaderRBAC.yaml على نظام المجموعة، فقم بتحديثه عن طريق نسخ ولصق التعليمات البرمجية الجديدة الموضحة في الخطوة 1. ثم قم بتشغيل الأمر الموضح في الخطوة 2 لتطبيقه على نظام المجموعة.

تكوين مصادقة Microsoft Entra المتكاملة

يستخدم نظام مجموعة AKS المكون لاستخدام معرف Microsoft Entra لمصادقة المستخدم بيانات اعتماد تسجيل الدخول للشخص الذي يصل إلى هذه الميزة. في هذا التكوين، يمكنك تسجيل الدخول إلى نظام مجموعة AKS باستخدام رمز مصادقة Microsoft Entra المميز.

يجب إعادة تكوين تسجيل عميل Microsoft Entra للسماح لمدخل Microsoft Azure بإعادة توجيه صفحات التخويل كعنون URL موثوق به لإعادة التوجيه. ثم يتم منح المستخدمين من معرف Microsoft Entra حق الوصول مباشرة إلى نفس نقاط نهاية Kubernetes API من خلال ClusterRoles و ClusterRoleBindings.

لمزيد من المعلومات حول إعداد الأمان المتقدم في Kubernetes، راجع وثائق Kubernetes.

إشعار

إذا كنت تقوم بإنشاء نظام مجموعة جديد يدعم Kubernetes RBAC، فشاهد دمج معرف Microsoft Entra مع خدمة Azure Kubernetes واتبع الخطوات لتكوين مصادقة Microsoft Entra. أثناء خطوات إنشاء تطبيق العميل، تبرز ملاحظة في هذا القسم عنواني URL لإعادة التوجيه اللذين تحتاج إلى إنشائها ل Container insights المطابقة لتلك المحددة في الخطوة 3.

إعادة تكوين تسجيل العميل

  1. حدد موقع تسجيل العميل لنظام مجموعة Kubernetes في معرف Microsoft Entra ضمن تسجيلات تطبيق معرف Microsoft Entra>في مدخل Microsoft Azure.

  2. في الجزء الأيمن، حدد Authentication.

  3. إضافة اثنين من عناوين URL لإعادة التوجيه إلى هذه القائمة كأنواع تطبيقات Web. يجب أن تكون https://afd.hosting.portal.azure.net/monitoring/Content/iframe/infrainsights.app/web/base-libs/auth/auth.htmlقيمة URL الأساسية الأولى هي . يجب أن تكون https://monitoring.hosting.portal.azure.net/monitoring/Content/iframe/infrainsights.app/web/base-libs/auth/auth.htmlقيمة URL الأساسية الثانية هي .

    إشعار

    إذا كنت تستخدم هذه الميزة في Microsoft Azure المشغل بواسطة 21Vianet، يجب أن تكون https://afd.hosting.azureportal.chinaloudapi.cn/monitoring/Content/iframe/infrainsights.app/web/base-libs/auth/auth.htmlقيمة عنوان URL الأساسية الأولى . يجب أن تكون https://monitoring.hosting.azureportal.chinaloudapi.cn/monitoring/Content/iframe/infrainsights.app/web/base-libs/auth/auth.htmlقيمة URL الأساسية الثانية هي .

  4. بعد تسجيل عناوين URL لإعادة التوجيه، ضمن Implicit grant، حدد الخيارات Access tokens والرموز المميزة للمعرف. ثم احفظ التغييرات.

يمكنك تكوين المصادقة باستخدام معرف Microsoft Entra لتسجيل الدخول الأحادي فقط أثناء النشر الأولي لمجموعة AKS جديدة. لا يمكنك تكوين تسجيل الدخول الأحادي لمجموعة AKS التي تم نشرها بالفعل.

هام

إذا قمت بإعادة تكوين معرف Microsoft Entra لمصادقة المستخدم باستخدام URI المحدث، فقم بإلغاء تحديد ذاكرة التخزين المؤقت للمستعرض للتأكد من تنزيل رمز المصادقة المحدث وتطبيقه.

منح الإذن

يجب منح كل حساب Microsoft Entra إذن لواجهات برمجة التطبيقات المناسبة في Kubernetes للوصول إلى ميزة البيانات المباشرة. خطوات منح حساب Microsoft Entra مشابهة للخطوات الموضحة في قسم مصادقة Kubernetes RBAC. قبل تطبيق قالب تكوين YAML على نظام المجموعة الخاص بك، استبدل clusterUser ضمن ClusterRoleBinding بالمستخدم المطلوب.

هام

إذا كان المستخدم الذي تمنح ربط Kubernetes RBAC له في نفس مستأجر Microsoft Entra، فعين الأذونات استنادا userPrincipalNameإلى . إذا كان المستخدم في مستأجر Microsoft Entra مختلف، استعلم عن الخاصية واستخدمها objectId .

لمزيد من المساعدة في تكوين نظام مجموعة AKS ClusterRoleBinding، راجع إنشاء ربط Kubernetes RBAC.

الخطوات التالية

الآن بعد أن قمت بإعداد المصادقة، يمكنك عرض المقاييس والأحداث والسجلات في الوقت الفعلي من مجموعتك.