Megosztás a következőn keresztül:

Azure-beli felügyelt identitáshitelesítés engedélyezése Kubernetes-fürtökhöz kubeloginnal

  • Cikk

Az AKS által felügyelt Microsoft Entra-integráció leegyszerűsíti a Microsoft Entra integrációs folyamatát. Korábban ügyfél- és kiszolgálóalkalmazást kellett létrehoznia, és a Microsoft Entra-bérlőnek címtárolvasói szerepkör-engedélyeket kellett hozzárendelnie. Most az AKS-erőforrás-szolgáltató kezeli az ügyfél- és kiszolgálóalkalmazásokat.

A fürtgazdák a Kubernetes szerepköralapú hozzáférés-vezérlését (Kubernetes RBAC) konfigurálhatják a felhasználó identitása vagy címtárcsoport-tagsága alapján. A Microsoft Entra-hitelesítés az OpenID Connecttel rendelkező AKS-fürtök számára biztosított. Az OpenID Connect egy identitásréteg, amely az OAuth 2.0 protokollra épül. Az OpenID Connectről további információt az OpenID Connect dokumentációjában talál.

További információ a Microsoft Entra integrációs folyamatáról a Microsoft Entra dokumentációjában.

Ez a cikk részletesen ismerteti, hogyan engedélyezheti és használhatja az Azure-erőforrások felügyelt identitásait az AKS-fürttel.

Korlátozások

Az alábbiakban az Azure-beli felügyelt identitáshitelesítésT integráló korlátozások szerepelnek az AKS-en.

  • Az integráció a hozzáadás után nem tiltható le.
  • Az integrált fürtökről az örökölt Microsoft Entra ID-fürtökre való visszalépések nem támogatottak.
  • A Kubernetes RBAC-támogatással nem rendelkező fürtök nem tudják hozzáadni az integrációt.

Mielőtt elkezdené

A felügyelt identitás AKS-bővítményének megfelelő telepítéséhez a következő követelményeknek kell megfelelnie.

  • Az Azure CLI 2.29.0-s vagy újabb verziója telepítve és konfigurálva van. A verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
  • kubectl Legalább 1.18.1-es vagy kubelogin. Az Azure CLI-vel és az Azure PowerShell-modullal ez a két parancs megtalálható és automatikusan kezelhető. Ez azt jelenti, hogy alapértelmezés szerint frissítve vannak, és a futtatásuk az aks install-cli nem kötelező vagy ajánlott. Ha automatizált folyamatot használ, a megfelelő vagy legújabb verzió frissítéseit kell kezelnie. A Kubernetes kubectl alverziói közötti különbség nem lehet több egynél. Ellenkező esetben a hitelesítési problémák nem a megfelelő verzióban jelentkeznek.
  • Ha helmt használ, a Helm 3.3 minimális verziójára van szüksége.
  • Ehhez a konfigurációhoz Microsoft Entra-csoport szükséges a fürthöz. Ez a csoport rendszergazdai csoportként van regisztrálva a fürtben a rendszergazdai engedélyek megadásához. Ha nem rendelkezik meglévő Microsoft Entra-csoporttal, létrehozhat egyet a az ad group create paranccsal.

Feljegyzés

A Microsoft Entra integrált fürtök az 1.24-es verziónál újabb Kubernetes-verzióval automatikusan használják a kubelogin formátumot. A Kubernetes 1.24-es verziójától kezdve a Microsoft Entra ID-fürtök clusterUser hitelesítő adatainak alapértelmezett formátuma a execkubelogin bináris fájl a végrehajtási ÚTVONALban. A nem Microsoft Entra-fürtök vagy az 1.24-nél régebbi verziót futtató Microsoft Entra ID-fürtök viselkedése nem változik. A meglévő letöltött fájlok kubeconfig továbbra is működnek. A clusterUser hitelesítő adatainak lekérésekor opcionális lekérdezési paraméterformátum is szerepel, amely felülírja az alapértelmezett viselkedésváltozást. Ha a régi kubeconfig formátumot szeretné fenntartani, explicit módon megadhatja a formátumot az Azure-nak.

Az integráció engedélyezése az AKS-fürtön

Új fürt létrehozása

  1. Hozzon létre egy Azure-erőforráscsoportot a az group create paranccsal.

    az group create --name myResourceGroup --location centralus

  2. Hozzon létre egy AKS-fürtöt, és engedélyezze az adminisztrációs hozzáférést a Microsoft Entra-csoport számára a az aks create parancs használatával.

    az aks create \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --enable-aad \
    --aad-admin-group-object-ids <id> [--aad-tenant-id <id>] \
    --generate-ssh-keys

    Az AKS által felügyelt Microsoft Entra ID-fürt sikeres létrehozása a válasz törzsének következő szakaszával rendelkezik:

    "AADProfile": {
    "adminGroupObjectIds": [
    "5d24****-****-****-****-****afa27aed"
    ],
    "clientAppId": null,
    "managed": true,
    "serverAppId": null,
    "serverAppSecret": null,
    "tenantId": "72f9****-****-****-****-****d011db47"
}

Meglévő fürt használata

Engedélyezze az AKS által felügyelt Microsoft Entra-integrációt a meglévő Kubernetes RBAC-kompatibilis fürtön a az aks update paranccsal. Győződjön meg arról, hogy a felügyeleti csoport úgy van beállítva, hogy a fürthöz való hozzáférést megtartsa.

az aks update --resource-group MyResourceGroup --name myManagedCluster --enable-aad --aad-admin-group-object-ids <id-1>,<id-2> [--aad-tenant-id <id>]

Az AKS által felügyelt Microsoft Entra ID-fürtök sikeres aktiválása a válasz törzsének következő szakaszával rendelkezik:

"AADProfile": {
    "adminGroupObjectIds": [
        "5d24****-****-****-****-****afa27aed"
    ],
    "clientAppId": null,
    "managed": true,
    "serverAppId": null,
    "serverAppSecret": null,
    "tenantId": "72f9****-****-****-****-****d011db47"
    }

Örökölt fürt migrálása az integrációba

Ha a fürt régi Microsoft Entra-integrációt használ, a parancson keresztül az aks update frissíthet az AKS által felügyelt Microsoft Entra-integrációra.

Figyelmeztetés

Az ingyenes rétegbeli fürtök a frissítés során api-kiszolgáló leállást tapasztalhatnak. Javasoljuk, hogy a nem üzemidő alatt frissítsen. A frissítés után a kubeconfig tartalma megváltozik. Az új hitelesítő adatok kubeconfig fájlba való egyesítéséhez futtatnia az aks get-credentials --resource-group <AKS resource group name> --name <AKS cluster name> kell.

az aks update --resource-group myResourceGroup --name myManagedCluster --enable-aad --aad-admin-group-object-ids <id> [--aad-tenant-id <id>]

Az AKS által felügyelt Microsoft Entra ID-fürtök sikeres migrálása a válasz törzsének következő szakaszával rendelkezik:

"AADProfile": {
    "adminGroupObjectIds": [
        "5d24****-****-****-****-****afa27aed"
    ],
    "clientAppId": null,
    "managed": true,
    "serverAppId": null,
    "serverAppSecret": null,
    "tenantId": "72f9****-****-****-****-****d011db47"
    }

Az engedélyezett fürt elérése

  1. Kérje le a felhasználói hitelesítő adatokat a fürt eléréséhez a az aks get-credentials parancs használatával.

    az aks get-credentials --resource-group myResourceGroup --name myManagedCluster

  2. A bejelentkezéshez kövesse az utasításokat.

  3. Állítsa be kubelogin az Azure CLI használatára.

    kubelogin convert-kubeconfig -l azurecli

  4. Tekintse meg a fürt csomópontjait a kubectl get nodes paranccsal.

    kubectl get nodes

Nem interaktív bejelentkezés kubeloginnal

Vannak olyan nem interaktív forgatókönyvek, amelyek nem támogatják kubectl. Ezekben az esetekben kubelogin a fürthöz való csatlakozáshoz használjon nem interaktív szolgáltatásnév hitelesítő adatokat a folyamatos integrációs folyamatok végrehajtásához.

Feljegyzés

A Microsoft Entra integrált fürtök az 1.24-es verziónál újabb Kubernetes-verzióval automatikusan használják a kubelogin formátumot. A Kubernetes 1.24-es verziójától kezdve a Microsoft Entra ID-fürtök clusterUser hitelesítő adatainak alapértelmezett formátuma a execkubelogin bináris fájl a végrehajtási ÚTVONALban. A nem Microsoft Entra-fürtök vagy az 1.24-nél régebbi verziót futtató Microsoft Entra ID-fürtök viselkedése nem változik. A meglévő letöltött fájlok kubeconfig továbbra is működnek. A clusterUser hitelesítő adatainak lekérésekor opcionális lekérdezési paraméterformátum is szerepel, amely felülírja az alapértelmezett viselkedésváltozást. Ha a régi kubeconfig formátumot szeretné fenntartani, explicit módon megadhatja a formátumot az Azure-nak.

  • A clusterUser hitelesítő adatainak lekérésekor a format lekérdezési paraméterrel felülírhatja az alapértelmezett viselkedést. Az értéket beállíthatja úgy, hogy azure az eredeti kubeconfig formátumot használja:

    az aks get-credentials --format azure

  • Ha a Microsoft Entra integrált fürtje a Kubernetes 1.24-es vagy újabb verzióját használja, manuálisan kell átalakítania a kubeconfig formátumot.

    export KUBECONFIG=/path/to/kubeconfig
kubelogin convert-kubeconfig

Feljegyzés

Ha a következő hibaüzenet jelenik meg: Az Azure auth beépülő modul el lett távolítva. A kubeconfig formátum manuális konvertálásához futtassa a parancsot kubelogin convert-kubeconfig .

További információkért tekintse meg az Azure Kubelogin ismert problémáit.

Hozzáférési problémák elhárítása

Fontos

Az ebben a szakaszban ismertetett lépés alternatív hitelesítési módszert javasol a Normál Microsoft Entra-csoporthitelesítéshez képest. Ezt a lehetőséget csak vészhelyzetben használhatja.

Ha nincs rendszergazdai hozzáférése egy érvényes Microsoft Entra-csoporthoz, kövesse ezt a kerülő megoldást. Jelentkezzen be egy fiókkal, amely tagja az Azure Kubernetes szolgáltatásfürt-rendszergazdai szerepkörnek, és adjon meg a csoportnak vagy a bérlőnek rendszergazdai hitelesítő adatokat a fürt eléréséhez.

Következő lépések

  • További információ a Microsoft Entra Kubernetes RBAC-vel való integrációjáról.
  • További információ az AKS és a Kubernetes identitásfogalmairól.
  • Megtudhatja, hogyan használhatja a kubelogint az AKS összes támogatott Microsoft Entra hitelesítési módszeréhez.
  • Azure Resource Manager-sablonokkal (ARM) hozhat létre AKS által felügyelt Microsoft Entra ID-kompatibilis fürtöket.