Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Übersicht über vom System zugewiesene und vom Benutzer zugewiesene verwaltete Identitäten in AKS, einschließlich ihrer Funktionsweise, Rollenzuweisungen und AKS-spezifischen Features für verwaltete Identitäten.
Informationen zum Aktivieren einer verwalteten Identität in einem neuen oder vorhandenen AKS-Cluster finden Sie unter Verwenden einer verwalteten Identität in Azure Kubernetes Service (AKS). Weitere Informationen zu verwalteten Identitäten in Azure finden Sie in der Dokumentation zu verwalteten Identitäten für Azure-Ressourcen.
Hinweis
Die vom System zugewiesenen und vom Benutzer zugewiesenen Identitätstypen unterscheiden sich von einer Workload-Identität, die für die Verwendung durch eine Anwendung vorgesehen ist, die auf einem Pod ausgeführt wird.
Autorisierungsfluss mit von AKS verwalteter Identität
AKS-Cluster verwenden vom System zugewiesene oder vom Benutzer zugewiesene verwaltete Identitäten , um Token von Microsoft Entra anzufordern. Diese Token helfen beim Autorisieren des Zugriffs auf andere Ressourcen, die in Azure ausgeführt werden. Sie weisen der verwalteten Identität eine rollebasierte Azure-Zugriffssteuerungsrolle (Azure RBAC) zu, um ihm Berechtigungen für eine bestimmte Azure-Ressource zu erteilen. Sie können z. B. Berechtigungen für eine verwaltete Identität erteilen, um auf geheime Schlüssel in einem Azure-Schlüsseltresor zuzugreifen, der vom Cluster verwendet werden kann.
Verhalten der verwalteten Identität in AKS
Wenn Sie einen AKS-Cluster bereitstellen, wird standardmäßig eine vom System zugewiesene verwaltete Identität erstellt. Sie können den Cluster auch mit einer vom Benutzer zugewiesenen verwalteten Identität erstellen oder einen vorhandenen Cluster auf einen anderen Typ verwalteter Identität aktualisieren.
Wenn Ihr Cluster bereits eine verwaltete Identität verwendet und Sie den Identitätstyp ändern (z. B. von system-zugewiesen zu benutzer-zugewiesen), gibt es eine Verzögerung, während die Komponenten der Steuerungsebene auf die neue Identität umschalten. Steuerungsebenenkomponenten verwenden weiterhin die alte Identität, bis ihr Token abläuft. Nachdem das Token aktualisiert wurde, wechseln sie zur neuen Identität. Dieser Prozess kann mehrere Stunden dauern.
Hinweis
Es ist auch möglich, einen Cluster mit einem Anwendungsdienstprinzipal zu erstellen, anstatt eine verwaltete Identität zu verwenden. Es wird jedoch empfohlen, aus Sicherheits- und Benutzerfreundlichkeitsgründen eine verwaltete Identität anstelle von einem Dienstprinzipal zu verwenden. Wenn Sie über einen vorhandenen Cluster verfügen, der einen Anwendungsdienstprinzipal verwendet, können Sie ihn aktualisieren, um eine verwaltete Identität zu verwenden.
AKS-Identitäts- und Anmeldeinformationsverwaltung
Die Azure-Plattform verwaltet sowohl vom System zugewiesene als auch vom Benutzer zugewiesene verwaltete Identitäten und ihre Anmeldeinformationen, sodass Sie den Zugriff von Ihren Anwendungen autorisieren können, ohne geheime Schlüssel bereitstellen oder drehen zu müssen.
Vom System zugewiesene verwaltete Identität
In der folgenden Tabelle sind die wichtigsten Merkmale einer vom System zugewiesenen verwalteten Identität in AKS zusammengefasst:
| Erstellung | Lebenszyklus | Gemeinsame Nutzung über Ressourcen hinweg | Gängige Anwendungsfälle |
|---|---|---|---|
| Erstellt als Teil einer Azure-Ressource, z. B. eines AKS-Clusters | An den Lebenszyklus der übergeordneten Ressource gebunden, sodass sie gelöscht wird, wenn die übergeordnete Ressource gelöscht wird. | Kann nur einer einzelnen Ressource zugeordnet werden | • Workloads, die in einer einzelnen Azure-Ressource enthalten sind • Workloads, die unabhängige Identitäten erfordern |
Vom Benutzer zugewiesene verwaltete Identität
In der folgenden Tabelle sind die wichtigsten Merkmale einer vom Benutzer zugewiesenen verwalteten Identität in AKS zusammengefasst:
| Erstellung | Lebenszyklus | Gemeinsame Nutzung über Ressourcen hinweg | Gängige Anwendungsfälle |
|---|---|---|---|
| Erstellt als eigenständige Azure-Ressource und muss vor der Clustererstellung vorhanden sein. | Unabhängig vom Lebenszyklus einer bestimmten Ressource ist daher ein manueller Löschvorgang erforderlich, wenn er nicht mehr benötigt wird. | Kann für mehrere Ressourcen freigegeben werden | • Arbeitslasten, die auf mehreren Ressourcen ausgeführt werden und eine einzelne Identität teilen können • Workloads, die eine Vorautorisierung für eine sichere Ressource im Rahmen eines Bereitstellungsprozesses erfordern • Workloads, bei denen Ressourcen häufig wiederverwendet werden, aber konsistente Berechtigungen benötigen |
Vorab erstellte verwaltete Kubelet-Identität
Eine vordefinierte kubelet verwaltete Identität ist eine optionale vom Benutzer zugewiesene Identität, die Kubelet für den Zugriff auf andere Ressourcen in Azure verwenden kann. Dieses Feature ermöglicht Szenarien wie die Verbindung mit der Azure Container Registry (ACR) während der Clustererstellung. Wenn Sie keine vom Benutzer zugewiesene verwaltete Identität für Kubelet angeben, erstellt AKS eine vom Benutzer zugewiesene Kubelet-Identität in der Knotenressourcengruppe. Für eine benutzerseitig zugewiesene Kubelet-Identität außerhalb der standardmäßigen Workerknoten-Ressourcengruppe müssen Sie der Kubelet-Identität die Rolle Operator für verwaltete Identität auf Steuerungsebene zuweisen.
Rollenzuweisungen für verwaltete Identitäten in AKS
Sie können einer verwalteten Identität eine Azure RBAC-Rolle zuweisen, um den Clusterberechtigungen für eine andere Azure-Ressource zu erteilen. Azure RBAC unterstützt integrierte und benutzerdefinierte Rollendefinitionen, die Berechtigungsebenen angeben. Informationen zum Zuweisen einer Rolle finden Sie unter "Schritte zum Zuweisen einer Azure-Rolle".
Wenn Sie einer verwalteten Identität eine Azure RBAC-Rolle zuweisen, müssen Sie den Bereich für die Rolle definieren. Im Allgemeinen empfiehlt es sich, den Umfang einer Rolle auf die mindestberechtigungen zu beschränken, die von der verwalteten Identität benötigt werden. Weitere Informationen zur Festlegung des Geltungsbereichs von Azure RBAC-Rollen finden Sie unter Grundlegendes zum Geltungsbereich von Azure RBAC.
Zuweisungen der Rolle Operator für verwaltete Identität auf Steuerungsebene
Wenn Sie Ihr eigenes VNet, angefügte Azure-Datenträger, eine statische IP-Adresse, eine Routentabelle oder eine benutzerzugewiesene Kubelet-Identität erstellen und verwenden, wobei sich die Ressourcen außerhalb der Ressourcengruppe des Arbeitsknotens befinden, fügt die Azure CLI automatisch die Rollenzuweisung hinzu. Wenn Sie eine ARM-Vorlage oder eine andere Methode verwenden, verwenden Sie die Prinzipal-ID der verwalteten Identität, um eine Rollenzuweisung auszuführen.
Wenn Sie die Azure CLI nicht verwenden, aber Ihr eigenes VNet verwenden, angefügte Azure-Datenträger, statische IP-Adresse, Routentabelle oder vom Benutzer zugewiesene Kubelet-Identität, die sich außerhalb der Ressourcengruppe des Arbeitsknotens befindet, empfehlen wir die Verwendung einer vom Benutzer zugewiesenen verwalteten Identität für die Steuerungsebene.
Wenn die Steuerungsebene eine vom System zugewiesene verwaltete Identität verwendet, wird die Identität gleichzeitig mit dem Cluster erstellt, sodass die Rollenzuweisung erst nach der Clustererstellung ausgeführt werden kann.
Zusammenfassung der von AKS verwendeten verwalteten Identitäten
AKS verwendet mehrere verwaltete Identitäten für integrierte Dienste und Add-Ons. In der folgenden Tabelle sind die verwalteten Identitäten zusammengefasst, die von AKS verwendet werden, deren Anwendungsfälle, Standardberechtigungen und ob Sie Ihre eigene Identität mitbringen können:
| Identität | Name | Anwendungsfall | Standardberechtigungen | Eigene Identität mitbringen |
|---|---|---|---|---|
| Steuerebene | AKS-Cluster-Name | Wird von Komponenten der AKS-Steuerungsebene verwendet, um Clusterressourcen wie Lastenausgleichsmodule für eingehenden Datenverkehr und von AKS verwaltete öffentliche IP-Adressen, die Autoskalierung im Cluster sowie CSI-Treiber für Datenträger, Dateien und Blobs in Azure zu verwalten. | Rolle "Mitwirkender" für die Ressourcengruppe „Node“ | Unterstützt |
| Kubelet | AKS-Cluster name-agentpool | Authentifizierung mit Azure Container Registry (ACR) | N/A für Kubernetes, Version 1.15 und höher | Unterstützt |
| Add-On | AzureNPM | Keine Identität erforderlich | N/A | Nicht unterstützt |
| Add-On | AzureCNI-Netzwerküberwachung | Keine Identität erforderlich | N/A | Nicht unterstützt |
| Add-On | azure-policy (Gatekeeper) | Keine Identität erforderlich | N/A | Nicht unterstützt |
| Add-On | Calico | Keine Identität erforderlich | N/A | Nicht unterstützt |
| Add-On | Anwendungsrouting | Verwaltet Azure DNS- und Azure Key Vault-Zertifikate | Rolle „Benutzer von Key VaultGeheimnissen“ für Key Vault, Rolle „DNS-Zonenmitwirkender“ für DNS-Zonen, Rolle „Private DNS-Zonenmitwirkender“ für private DNS-Zonen | Nicht unterstützt |
| Add-On | HTTPApplicationRouting | Verwaltet erforderliche Netzwerkressourcen | Leserrolle für Knotenressourcengruppe, Mitwirkenderolle für DNS-Zone | Nicht unterstützt |
| Add-On | Anwendungsgateway für eingehenden Datenverkehr | Verwaltet erforderliche Netzwerkressourcen | Rolle „Mitwirkender“ für Knotenressourcengruppe | Nicht unterstützt |
| Add-On | omsagent | Wird verwendet, um AKS-Metriken an Azure Monitor zu senden | Rolle „Herausgeber von Überwachungsmetriken“ | Nicht unterstützt |
| Add-On | Virtual-Node (ACIConnector) | Verwaltet erforderliche Netzwerkressourcen für Azure-Containerinstanzen (ACI) | Rolle „Mitwirkender“ für Knotenressourcengruppe | Nicht unterstützt |
| Add-On | Kostenanalyse | Wird verwendet, um Kostenzuteilungsdaten zu sammeln | N/A | Unterstützt |
| Workload-Identität | Microsoft Entra Workload ID | Ermöglicht Anwendungen den sicheren Zugriff auf Cloudressourcen mit der Microsoft Entra Workload-ID | N/A | Nicht unterstützt |
Nächster Schritt: Aktivieren verwalteter Identitäten in AKS
Informationen zum Aktivieren verwalteter Identitäten in einem neuen oder vorhandenen AKS-Cluster finden Sie unter Verwenden einer verwalteten Identität in Azure Kubernetes Service (AKS).