Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: AKS en Azure Local
AKS habilitado por Azure Arc simplifica el proceso de autenticación con la integración de Microsoft Entra ID. Para la autorización, los administradores de clústeres pueden configurar el control de acceso basado en rol de Kubernetes (RBAC de Kubernetes) o el control de acceso basado en rol de Azure (RBAC de Azure) en función de la pertenencia a grupos de directorios de la integración de Microsoft Entra ID.
La autenticación de Microsoft Entra se proporciona a los clústeres de AKS Arc con OpenID Connect. OpenID Connect es una capa de identidad creada basándose en el protocolo OAuth 2.0. Para obtener más información sobre OpenID Connect, consulte la documentación de OpenID Connect. Para obtener más información sobre el flujo de integración de Microsoft Entra, consulte la documentación de Microsoft Entra.
En este artículo se describe cómo habilitar y usar la autenticación de Id. de Entra de Microsoft para clústeres de Kubernetes.
Antes de empezar
- Esta configuración requiere que tenga un grupo de Microsoft Entra para el clúster. Este grupo se registrará como grupo de administración en el clúster para conceder permisos de administrador. Si no tiene un grupo de Microsoft Entra existente, puede crear uno mediante el comando
az ad group create. - Para crear o actualizar un clúster de Kubernetes, necesita el rol Colaborador de Azure Kubernetes Service Arc.
- Para acceder directamente al clúster de Kubernetes utilizando el comando
az aksarc get-credentialsy descargar el archivo kubeconfig, necesita el permiso Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action, que está incluido en el rol de permiso de usuario de clúster de Azure Kubernetes Service Arc. - Una vez habilitado el grupo de Microsoft Entra con acceso de administrador al clúster de AKS, este grupo de Microsoft Entra puede interactuar con clústeres de Kubernetes. Debe instalar kubectl y kubelogin.
- La integración no se puede deshabilitar una vez agregada. Todavía puede usar
az aksarc updatepara actualizar el/laaad-admin-group-object-idssi es necesario.
Habilitación de la autenticación de Microsoft Entra para el clúster de Kubernetes
Creación de un clúster con autenticación de Microsoft Entra
Cree un grupo de recursos de Azure con el comando
az group create:az group create --name $resource_group --location centralusCree un clúster de AKS Arc y habilite el acceso de administrador para tu grupo de Microsoft Entra mediante el parámetro
--aad-admin-group-object-idsen el comandoaz aksarc create.az aksarc create -n $aks_cluster_name -g $resource_group --custom-location $customlocationID --vnet-ids $logicnetId --aad-admin-group-object-ids $aadgroupID --generate-ssh-keys
Uso de un clúster existente con la autenticación de Microsoft Entra
Habilite la autenticación de Microsoft Entra en el clúster de Kubernetes existente mediante el parámetro --aad-admin-group-object-ids en el comando az aksarc update. Asegúrese de establecer el grupo de administración para conservar el acceso en el clúster:
az aksarc update -n $aks_cluster_name -g $resource_group --aad-admin-group-object-ids $aadgroupID
Acceso al clúster habilitado para Microsoft Entra
Obtenga las credenciales de usuario para acceder al clúster usando el comando
az aksarc get-credentials. Necesita Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action , que se incluye en el permiso del rol Usuario de clúster de Azure Kubernetes Service Arc:az aksarc get-credentials --resource-group $resource_group --name $aks_cluster_nameVea los nodos del clúster con el
kubectl get nodescomando y siga las instrucciones para iniciar sesión. Debe estar en el grupo de Microsoft Entra ID especificado con el clúster de AKS cuando pase el parámetro--aad-admin-group-object-ids $aadgroupID:kubectl get nodes