Partage via


Connexion du cluster à des clusters Kubernetes avec Azure Arc

La fonctionnalité Connexion au cluster de Kubernetes avec Azure Arc fournit la connectivité à l’apiserver du cluster sans qu’il soit nécessaire d’activer un port entrant sur le pare-feu. Un agent proxy inverse s’exécutant sur le cluster peut démarrer de manière sécurisée une session sortante avec le service Azure Arc.

Connexion au cluster permet aux développeurs d’accéder à leurs clusters depuis n’importe où, à des fins de développement et de débogage interactifs. Il permet également aux utilisateurs et aux administrateurs du cluster d’accéder à leurs clusters ou de les gérer depuis n’importe où. Vous pouvez même utiliser des exécuteurs/agents hébergés d’Azure Pipelines, GitHub Actions ou tout autre service CI/CD hébergé afin de déployer des applications sur des clusters locaux, sans nécessiter d’agents auto-hébergés.

Architecture

Diagramme montrant l’architecture de la connexion au cluster.

Du côté du cluster, un agent de proxy inverse appelé clusterconnect-agent et déployé dans le cadre du chart Helm d’agent, effectue des appels sortants vers le service Azure Arc pour établir la session.

Lorsque l’utilisateur appelle az connectedk8s proxy :

  1. Le binaire de proxy Azure Arc est téléchargé et lancé en tant que processus sur l’ordinateur client.
  2. Le proxy Azure Arc extrait un fichier kubeconfig associé au cluster Kubernetes avec Azure Arc sur lequel az connectedk8s proxy est appelé.
    • Le proxy Azure Arc utilise le jeton d’accès Azure de l’appelant et le nom de l’ID Azure Resource Manager.
  3. Le fichier kubeconfig, enregistré sur l’ordinateur par le proxy Azure Arc, pointe l’URL du serveur vers un point de terminaison sur le processus de proxy Azure Arc.

Lorsqu’un utilisateur envoie une requête à l’aide de ce fichier kubeconfig :

  1. Le proxy Azure Arc mappe le point de terminaison recevant la requête au service Azure Arc.
  2. Le service Azure Arc transfère ensuite la requête au clusterconnect-agent en cours d’exécution sur le cluster.
  3. clusterconnect-agent transfère la requête au composant kube-aad-proxy, qui effectue l’authentification Microsoft Entra sur l’entité appelante.
  4. Après l’authentification Microsoft Entra, kube-aad-proxy utilise l’emprunt d’identité utilisateur de Kubernetes pour transférer la requête à apiserver du cluster.

Étapes suivantes