إدارة الهوية والوصول ل Kubernetes التي تدعم Azure Arc
يدعم Kubernetes الذي يدعم Azure Arc البيئات المحلية وغيرها من البيئات السحابية المدمجة مع أنظمة إدارة الهوية والوصول المختلفة. بالإضافة إلى التحكم في الوصول المستند إلى دور مجموعة Kubernetes (RBAC)، يدعم Kubernetes الممكن في Azure Arc Azure RBAC لتوحيد إدارة الوصول عبر مجموعات Kubernetes وتقليل الحمل التشغيلي.
تعتمد نماذج التحكم في الوصول استنادا إلى الدور التي يجب أن تستخدمها مؤسستك على احتياجات الاستخدام التي تحتاجها مؤسستك. ومن الأمثلة على ذلك:
- إلحاق مجموعة Kubernetes ب Azure Arc
- إدارة مجموعة Kubernetes الممكنة بواسطة Arc
- تثبيت ملحقات نظام مجموعة Azure Arc
- تشغيل التطبيقات على مجموعة Kubernetes الممكنة في Arc
- استخدام Azure RBAC للوصول إلى موارد Azure
يتيح لك فهم احتياجات مؤسستك وقدرات Kubernetes الممكنة في Azure Arc اختيار أفضل نماذج التحكم في الوصول استنادا إلى الدور لمتطلبات البنية الأساسية والأمان والحوكمة المحددة أثناء إنشاء مجموعة Kubernetes الممكنة بواسطة Arc.
توضح هذه المقالة بنية هوية Kubernetes الممكنة في Azure Arc وإدارة الوصول (IAM) واعتبارات التصميم والتوصيات وعناصر التحكم في الوصول المستندة إلى الأدوار لسيناريوهات مختلفة.
بناء الأنظمة
لتصميم البنية المناسبة لمؤسستك، تحتاج إلى فهم أوضاع اتصال Kubernetes الممكنة بواسطة Arc. يتم دعم Azure RBAC فقط في الوضع المتصل بالكامل، وليس الوضع شبه المتصل.
Azure RBAC على Kubernetes التي تدعم Azure Arc
يوضح الرسم التخطيطي التالي مختلف مكونات Kubernetes الممكنة في Azure Arc وكيفية تفاعلها عند استخدام Azure RBAC لإدارة مجموعة Kubernetes.
الوصول بأمان إلى مجموعة Kubernetes الممكنة في Azure Arc من أي مكان
يعرض الرسم التخطيطي التالي الوصول إلى مجموعة Kubernetes الممكن في Azure Arc من أي مكان ويوضح كيفية تفاعل المكونات مع بعضها البعض لإدارة نظام مجموعة باستخدام Azure RBAC.
اعتبارات التصميم
راجع منطقة تصميم إدارة الهوية والوصول في مناطق هبوط Azure لتقييم تأثير Kubernetes الممكن في Azure Arc على الهوية العامة ونموذج الوصول.
لإلحاق نظام مجموعة Kubernetes:
- حدد بين Azure AD المستخدم (للإلحاق اليدوي لنظام مجموعة واحدة) مقابل كيان الخدمة (للإلحاق النصي وبدون رأس لمجموعات متعددة) لإلحاق مجموعات Kubernetes ب Azure Arc بشكل فردي أو على نطاق واسع. لمزيد من تفاصيل التنفيذ، راجع منطقة التصميم الهامة لتخصصات التنفيذ التلقائي.
- يجب أن يكون لدى هوية كيان الإلحاق ClusterRoleBinding على نظام المجموعة. حدد بين استخدام مستخدم من موفر هوية سحابة محلي أو موفر هوية سحابي آخر أو استخدام حساب خدمة Kubernetes مع دور مسؤول نظام المجموعة.
لإدارة نظام مجموعة Kubernetes:
- نظرا لأن Kubernetes الذي يدعم Azure Arc يجلب مصادقة Azure AD وAzure RBAC إلى بيئات Kubernetes المحلية أو السحابية الأخرى، يجب أن تقرر بين إدارة الوصول إلى Kubernetes الحالية وAzure RBAC، اعتمادا على متطلبات الأمان والحوكمة لمؤسستك.
- حدد ما إذا كان Kubernetes Cluster Connect الممكن في Azure Arc يمنحك المرونة لإدارة مجموعة Kubernetes دون فتح منافذ جدار الحماية الواردة إلى شبكاتك المحلية أو شبكات السحابة الأخرى.
- حدد ما إذا كان Azure RBAC هو الخيار الصحيح عندما يكون لديك العديد من مجموعات Kubernetes قيد التشغيل في بيئات محلية وبيئات سحابية أخرى وتحتاج إلى تبسيط إدارة نظام المجموعة عبر جميع مجموعات Kubernetes.
توصيات التصميم
لإلحاق نظام مجموعة Kubernetes:
- استخدم Azure AD مجموعات الأمان لمنح أدوار التحكم في الوصول استنادا إلى الدور لنظام مجموعة Kubernetes الممكنة في Azure Arc لإعداد مجموعات Kubernetes الممكنة في Azure Arc وإدارتها.
لإدارة نظام مجموعة Kubernetes:
إذا تمت مزامنة الهويات المحلية مع Azure AD، فاستخدم نفس الهويات عند استخدام Azure RBAC لإدارة نظام المجموعة.
قم بتبسيط إدارة الوصول الخاصة بك عن طريق إنشاء مجموعات أمان وتعيينها إلى أدوار Azure RBAC التي يدعمها Kubernetes الممكنة في Azure Arc. قم بتعيين أذونات لمجموعات الأمان هذه على مستوى مجموعة الموارد أو الاشتراك اعتمادا على تنظيم الموارد ومتطلبات الحوكمة. لمزيد من المعلومات، راجع منطقة التصميم الهامة لمؤسسة الموارد.
ملاحظة
لا يدعم Kubernetes الذي يدعم Azure Arc المستخدمين الذين لديهم أكثر من 200 عضوية لمجموعة الأمان وسيعطي بدلا من ذلك خطأ في المصادقة.
تجنب تعيين المستخدم المباشر لأدوار Azure RBAC، لأنه من الصعب التحكم في إدارة الوصول.
اللامركزية وتفويض مسؤولية إدارة الوصول وتعيينات التدقيق عن طريق تعيين مالكي مجموعة الأمان.
تمكين مراجعات الوصول الدورية في Azure AD لإزالة المستخدمين الذين لم يعودوا بحاجة إلى الوصول إلى مجموعات Kubernetes.
إنشاء نهج الوصول المشروط عند استخدام Azure RBAC لإدارة نظام المجموعة لفرض شروط مختلفة لتلبية نهج الأمان والحوكمة.
عناصر التحكم في الوصول المستندة إلى الدور
تدير Kubernetes الممكنة في Azure Arc مجموعات Kubernetes باستخدام Azure RBAC وتدعم الأدوار التالية لإلحاق مجموعات Kubernetes ب Azure Arc.
| الدور | الوصف |
|---|---|
| دور مستخدم نظام مجموعة Kubernetes الممكن في Azure Arc | يتيح لك إحضار ملف kubeconfig المستند إلى Cluster Connect لإدارة المجموعات من أي مكان. |
| Azure Arc Kubernetes مسؤول | يتيح لك إدارة جميع الموارد ضمن الكتلة/مساحة الاسم، باستثناء تحديث أو حذف حصص الموارد ومساحات الأسماء. |
| مسؤول نظام مجموعة Azure Arc Kubernetes | يتيح لك إدارة جميع الموارد في نظام المجموعة. |
| عارض Azure Arc Kubernetes | يتيح لك عرض جميع الموارد في مساحة نظام المجموعة/الاسم، باستثناء البيانات السرية. |
| Azure Arc Kubernetes Writer | يتيح لك تحديث كل شيء في مساحة نظام المجموعة/الاسم، باستثناء أدوار (نظام المجموعة) وارتباطات الأدوار (نظام المجموعة). |
| نظام مجموعة Kubernetes - إلحاق Azure Arc | يتيح لك تعريف الدور تخويل أي مستخدم/خدمة لإنشاء موارد مجموعات متصلة |
الخطوات التالية
لمزيد من المعلومات حول رحلتك السحابية المختلطة ومتعددة السحابات، راجع المقالات التالية:
- راجع المتطلبات الأساسية ل Kubernetes الممكنة في Azure Arc.
- راجع توزيعات Kubernetes التي تم التحقق من صحتها ل Kubernetes التي تدعم Azure Arc.
- راجع إدارة البيئات المختلطة ومتعددة السحابات.
- راجع نهج الوصول المشروط الشائعة لتطبيقها عند استخدام Azure RBAC لمجموعة Kubernetes الممكنة في Azure Arc.
- يمكن أن تساعدك مؤسسة الموارد في تخطيط وتطبيق الحوكمة والأمان باستخدام Azure RBAC.
- تعرف على كيفية دمج Azure AD مع مجموعات Kubernetes الممكنة في Azure Arc.
- تعرف على كيفية الوصول إلى مجموعتك بأمان من أي مكان باستخدام اتصال نظام المجموعة.
- مراجعة مناطق Azure المنتقل إليها - منطقة تصميم هوية Azure وإدارة الوصول.
- راجع منهجية Cloud Adoption Framework - Access Control .
- تجربة سيناريوهات Kubernetes التلقائية الممكنة في Azure Arc باستخدام Azure Arc Jumpstart.
- تعرف على المزيد حول Azure Arc عبر مسار تعلم Azure Arc.
- مراجعة الأسئلة المتداولة - تمكين Azure Arc للعثور على إجابات للأسئلة الأكثر شيوعا.