Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje přehled spravovaných identit přiřazených systémem a přiřazených uživatelem v AKS, včetně toho, jak fungují, přiřazení rolí a funkce spravované identity specifické pro AKS.]
Další informace o spravovaných identitách v Azure najdete v dokumentaci ke spravovaným identitám pro prostředky Azure.
Poznámka:
Spravované identity pokrývají scénář identifikace cluster-to-Azure v AKS – jak cluster AKS přistupuje k Azure za účelem správy prostředků vaším jménem. Další scénáře identit (ověřování a autorizace na control plane a identita úloh mezi pody a Azure) najdete v tématu Možnosti přístupu a identit pro AKS.
Poznámka:
Typy identit přiřazené systémem a uživatelem se liší od pracovní identity, která je určena pro použití aplikací běžících na podech.
Tok autorizace spravované identity AKS
Clustery AKS používají spravované identity přiřazené systémem nebo uživatelem k vyžádání tokenů z Microsoft Entra. Tyto tokeny pomáhají autorizovat přístup k dalším prostředkům běžícím v Azure. Spravované identitě přiřadíte roli řízení přístupu na základě role v Azure (Azure RBAC), abyste jí udělili oprávnění ke konkrétnímu prostředku Azure. Můžete například udělit oprávnění spravované identitě pro přístup k tajným kódům v trezoru klíčů Azure pro použití clusterem.
Chování spravované identity ve službě AKS
Když nasadíte cluster AKS, ve výchozím nastavení se pro vás vytvoří spravovaná identita přiřazená systémem. Můžete také vytvořit cluster se spravovanou identitou přiřazenou uživatelem nebo aktualizovat existující cluster na jiný typ spravované identity.
Pokud váš cluster již používá spravovanou identifikaci a změníte typ identifikace (například ze systému přiřazené na uživatelem přiřazenou), dojde ke zpoždění, když se komponenty řídicího panelu přepnou na novou identifikaci. Komponenty kontrolní roviny nadále používají starou identitu, dokud jejich tokeny nevyprší. Po aktualizaci tokenu přejdou na novou identitu. Tento proces může trvat několik hodin.
Poznámka:
Cluster lze také vytvořit s službou principal aplikace spíše než se spravovanou identitou. Pro zabezpečení a snadné použití však doporučujeme použít spravovanou identitu nad instančním objektem aplikace. Pokud máte existující cluster, který používá služební princip aplikace, můžete ho aktualizovat tak, aby používal spravovanou identitu.
Správa identit a přihlašovacích údajů AKS
Platforma Azure spravuje spravované identity přiřazené systémem i uživatelem a jejich přihlašovací údaje, abyste mohli autorizovat přístup z aplikací, aniž byste museli zřizovat nebo obměňovat tajné kódy.
Spravovaná identita přiřazená systémem
Následující tabulka shrnuje klíčové charakteristiky spravované identity přiřazené systémem v AKS:
| Creation | Životní cyklus | Sdílení napříč prostředky | Běžné případy použití |
|---|---|---|---|
| Vytvořeno jako součást prostředku Azure, jako je cluster AKS | Svázaný s životním cyklem nadřazeného prostředku, takže se odstraní při odstranění nadřazeného prostředku. | Lze přidružit jen k jednomu zdroji. | • Úlohy obsažené v jednom prostředku Azure • Úlohy, které vyžadují nezávislé identity |
Spravovaná identita přiřazená uživatelem
Následující tabulka shrnuje klíčové charakteristiky spravované identity přiřazené uživatelem v AKS:
| Creation | Životní cyklus | Sdílení napříč prostředky | Běžné případy použití |
|---|---|---|---|
| Vytvořeno jako samostatný prostředek Azure a musí existovat před vytvořením clusteru. | Nezávisle na životním cyklu jakéhokoli konkrétního prostředku, takže vyžaduje ruční odstranění, pokud už ho nepotřebujete. | Je možné sdílet napříč několika prostředky. | • Úlohy, které běží na více prostředcích a můžou sdílet jednu identitu • Úlohy, které vyžadují předběžné povolení přístupu k zabezpečenému prostředku v rámci procesu zřizování • Úlohy, ve kterých se prostředky recyklují často, ale potřebují konzistentní oprávnění |
Předem vytvořená spravovaná identita kubeletu
Předem vytvořená spravovaná identita kubeletu je volitelná identita přiřazená uživatelem, kterou kubelet může použít pro přístup k dalším prostředkům v Azure. Tato funkce umožňuje scénáře, jako je připojení ke službě Azure Container Registry (ACR) během vytváření clusteru. Pokud pro kubelet nezadáte spravovanou identitu přiřazenou uživatelem, AKS vytvoří identitu kubeletu přiřazenou uživatelem ve skupině prostředků uzlu. Pro identitu kubeletu přiřazenou uživatelem, která se nachází mimo výchozí skupinu prostředků pracovního uzlu, musíte na této identitě kubeletu přiřadit roli Operátor Spravované Identity pro spravovanou identitu řídicí roviny.
Přiřazení rolí pro spravované identity v AKS
Roli Azure RBAC můžete přiřadit spravované identitě, abyste clusteru udělili oprávnění k jinému prostředku Azure. Azure RBAC podporuje integrované i vlastní definice rolí, které určují úrovně oprávnění. Pokud chcete přiřadit roli, přečtěte si postup přiřazení role Azure.
Když přiřadíte roli Azure RBAC spravované identitě, musíte definovat obor role. Obecně se doporučuje omezit rozsah role na minimální oprávnění požadovaná spravovanou identitou. Další informace o určení rozsahu rolí Azure RBAC najdete v tématu Vysvětlení oboru pro Azure RBAC.
Přiřazení rolí spravované identity v řídicí rovině
Když vytvoříte a použijete vlastní virtuální síť, připojené disky Azure, statickou IP adresu, směrovací tabulku nebo identitu kubeletu přiřazenou uživatelem, ve které jsou prostředky mimo skupinu prostředků pracovního uzlu, Azure CLI přidá přiřazení role automaticky. Pokud používáte šablonu ARM nebo jinou metodu, použijte ID hlavního objektu spravované identity k přiřazení role.
Pokud nepoužíváte Azure CLI, ale používáte vlastní virtuální síť, připojené disky Azure, statickou IP adresu, směrovací tabulku nebo identitu kubeletu přiřazenou uživatelem mimo skupinu prostředků pracovního uzlu, doporučujeme pro řídicí rovinu použít spravovanou identitu přiřazenou uživatelem.
Pokud řídicí rovina používá spravovanou identitu přiřazenou systémem, vytvoří se identita ve stejnou dobu jako cluster, takže přiřazení role se nedá provést až po vytvoření clusteru.
Souhrn spravovaných identit používaných službou AKS
AKS používá několik spravovaných identit pro integrované služby a doplňky. Následující tabulka shrnuje spravované identity používané službou AKS, jejich případy použití, výchozí oprávnění a informace o tom, jestli můžete použít vlastní identitu:
| Identita | Název | Případ použití | Výchozí oprávnění | Přinést vlastní identitu |
|---|---|---|---|---|
| Úroveň řízení | Název clusteru AKS | Používá se komponentami řídicí roviny AKS ke správě prostředků clusteru, včetně vyrovnávačů zatížení příchozího přenosu a veřejné IP adresy spravované AKS, automatické škálování clusteru, disků Azure, ovladačů CSI pro soubory a objekty blob. | Role přispěvatele pro uzlovou skupinu prostředků | Podporováno |
| Kubelet | Fond názvů clusteru AKS | Ověřování pomocí služby Azure Container Registry (ACR) | Není k dispozici pro Kubernetes verze 1.15 a novější | Podporováno |
| doplněk | AzureNPM | Nevyžaduje se žádná identita. | N/A | Nepodporované |
| doplněk | Monitorování sítě AzureCNI | Nevyžaduje se žádná identita. | N/A | Nepodporované |
| doplněk | azure-policy (správce přístupu) | Nevyžaduje se žádná identita. | N/A | Nepodporované |
| doplněk | Kaliko | Nevyžaduje se žádná identita. | N/A | Nepodporované |
| doplněk | směrování aplikací | Spravuje certifikáty Azure DNS a Azure Key Vault. | Role uživatele tajných kódů služby Key Vault pro službu Key Vault, role Přispěvatel zón DNS pro zóny DNS, role Přispěvatel privátní zóny DNS pro privátní zóny DNS | Nepodporované |
| doplněk | HTTPApplicationRouting | Spravuje požadované síťové prostředky. | Role čtenáře pro skupinu uzlových prostředků, role přispěvatele pro zónu DNS | Nepodporované |
| doplněk | Aplikační brána Ingress | Spravuje požadované síťové prostředky. | Role přispěvatele pro uzlovou skupinu prostředků | Nepodporované |
| doplněk | omsagent | Používá se k odesílání metrik AKS do služby Azure Monitor. | Monitorování role vydavatele metrik | Nepodporované |
| doplněk | Virtual-Node (ACIConnector) | Spravuje požadované síťové prostředky pro Azure Container Instances (ACI). | Role přispěvatele pro uzlovou skupinu prostředků | Nepodporované |
| doplněk | Analýza nákladů | Používá se ke shromažďování dat o alokaci nákladů. | N/A | Podporováno |
| Identita úloh | Identifikátor zátěže Microsoft Entra | Umožňuje aplikacím bezpečně přistupovat ke cloudovým prostředkům pomocí ID úlohy Microsoft Entra. | N/A | Nepodporované |
Další krok
Pomocí následujících příruček povolte požadovaný typ spravované identity v novém nebo existujícím clusteru AKS: