Azure RBAC v clusterech Kubernetes s podporou Azure Arc (Preview)

  • Článek

Typy objektů Kubernetes ClusterRoleBinding a RoleBinding pomáhají nativně definovat autorizaci v Kubernetes. Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete k řízení kontrol autorizace v clusteru použít id Microsoft Entra a přiřazení rolí v Azure. To umožňuje výhody přiřazení rolí Azure, jako jsou protokoly aktivit zobrazující všechny změny Azure RBAC prostředku Azure, které se použijí s clusterem Kubernetes s podporou Azure Arc.

Důležité

Funkce Kubernetes s podporou Azure Arc ve verzi Preview jsou k dispozici na samoobslužné bázi s výslovným souhlasem. Verze Preview jsou poskytovány "tak, jak jsou" a "dostupné", a jsou vyloučené ze smluv o úrovni služeb a omezené záruky. Verze Preview s podporou Azure Arc se částečně vztahují na zákaznickou podporu na základě maximálního úsilí.

Architektura

Diagram showing Azure RBAC architecture.

Aby bylo možné směrovat všechny kontroly přístupu autorizace do autorizační služby v Azure, nasadí se v clusteru server webhooku (guard).

Cluster apiserver je nakonfigurovaný tak, aby používal ověřování tokenu webhooku a autorizaci webhooku, TokenAccessReview aby se požadavky SubjectAccessReview směrovaly na server strážného webhooku. Požadavky TokenAccessReview a SubjectAccessReview žádosti se aktivují požadavky na prostředky Kubernetes odeslané do služby apiserver.

Guard pak zavolá checkAccess autorizační službu v Azure, aby zjistil, jestli má žádající entita Microsoft Entra přístup k prostředku, který se týká.

Pokud má tato entita roli, která povoluje tento přístup, allowed odešle se odpověď z autorizační služby, která chrání. Stráž zase pošle allowed odpověď na apiservervolající entitu, která umožňuje přístup k požadovanému prostředku Kubernetes.

Pokud entita nemá roli, která tento přístup povoluje, denied odešle se odpověď z autorizační služby, která bude chránit. Guard odešle denied odpověď na požadovanou entitu apiservers chybou 403 zakázáno.

Další kroky