Biztonságos hozzáférés az Azure-erőforrásokhoz az Azure Kubernetes Service-ben a Megbízható hozzáférés használatával
Az Azure Kubernetes Service-vel (AKS) integrálható Számos Azure-szolgáltatásnak hozzá kell férnie a Kubernetes API-kiszolgálóhoz. A szolgáltatások rendszergazdai hozzáférésének biztosítása vagy az AKS-fürtök hálózati hozzáféréshez való nyilvánossá tétele érdekében használhatja az AKS Megbízható hozzáférés funkciót.
Ez a funkció biztonságos hozzáférést biztosít a szolgáltatások számára az AKS API-kiszolgálóhoz az Azure háttérrendszerének használatával, privát végpont megkövetelése nélkül. AHelyett, hogy Microsoft Entra-engedélyekkel rendelkező identitásokra támaszkodna, ez a funkció a rendszer által hozzárendelt felügyelt identitással hitelesítheti az AKS-fürtökkel használni kívánt felügyelt szolgáltatásokkal és alkalmazásokkal.
Ez a cikk bemutatja, hogyan szerezhet biztonságos hozzáférést az Azure-szolgáltatásokhoz a Kubernetes API-kiszolgálóhoz az AKS-ben a Megbízható hozzáférés használatával.
Feljegyzés
A Trusted Access API általánosan elérhető. Általános rendelkezésre állási (GA) támogatást biztosítunk az Azure CLI-hez, de még előzetes verzióban van, és az aks-preview bővítmény használatát igényli.
A Megbízható hozzáférés funkció áttekintése
A Megbízható hozzáférés a következő forgatókönyveket kezeli:
Ha egy engedélyezett IP-címtartomány be van állítva vagy egy privát fürtben, előfordulhat, hogy az Azure-szolgáltatások csak akkor férhetnek hozzá a Kubernetes API-kiszolgálóhoz, ha magánvégpont-hozzáférési modellt implementál.
Az Azure-szolgáltatás rendszergazdájának a Kubernetes API-hoz való hozzáférésének biztosítása nem követi a legkevésbé ajánlott jogosultsági hozzáférési gyakorlatot, és a jogosultságok eszkalációjához vagy a hitelesítő adatok kiszivárgásának kockázatához vezethet. Előfordulhat például, hogy magas jogosultságú szolgáltatások közötti engedélyeket kell implementálnia, és ezek nem ideálisak egy auditvizsgálat során.
A Megbízható hozzáférés használatával kifejezett hozzájárulást adhat a rendszer által hozzárendelt felügyelt identitáshoz az engedélyezett erőforrások számára az AKS-fürtök eléréséhez egy szerepkörkötésnek nevezett Azure-erőforrás használatával. Az Azure-erőforrások a rendszer által hozzárendelt felügyelt identitás hitelesítésével férnek hozzá az AKS-fürtökhöz az AKS regionális átjárón keresztül. A megfelelő Kubernetes-engedélyek egy szerepkörnek nevezett Azure-erőforráson keresztül vannak hozzárendelve. A Megbízható hozzáférés szolgáltatással különböző konfigurációjú AKS-fürtöket érhet el, többek között privát fürtöket, helyi fiókokat kikapcsolt fürtöket, Microsoft Entra-fürtöket és engedélyezett IP-tartományfürtöket.
Előfeltételek
- Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
- A rendszer által hozzárendelt felügyelt identitást támogató erőforrástípusok.
- Az Azure CLI 2.53.0-s vagy újabb verziója. Futtassa
az --version
a verziót. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése. - A különböző forgatókönyvekben használandó szerepkörökről az alábbi cikkekből tájékozódhat:
AKS-fürt létrehozása
A fürthöz elérni kívánt Azure-erőforrással megegyező előfizetésben hozzon létre egy AKS-fürtöt.
Válassza ki a szükséges megbízható hozzáférési szerepköröket
A kiválasztott szerepkörök az AKS-fürthöz elérni kívánt Azure-szolgáltatásoktól függnek. Az Azure-szolgáltatások segítenek olyan szerepkörök és szerepkör-kötések létrehozásában, amelyek az Azure-szolgáltatás és az AKS közötti kapcsolatot építik ki.
Megbízható hozzáférési szerepkör kötésének létrehozása
Miután megerősítette, hogy melyik szerepkört szeretné használni, az Azure CLI használatával hozzon létre egy megbízható hozzáférésű szerepkör-kötést az AKS-fürtben. A szerepkör-kötés társítja a kiválasztott szerepkört az Azure-szolgáltatáshoz.
# Create a Trusted Access role binding in an AKS cluster
az aks trustedaccess rolebinding create --resource-group <AKS resource group> --cluster-name <AKS cluster name> -n <role binding name> -s <connected service resource ID> --roles <roleName1, roleName2>
Példa:
# Sample command
az aks trustedaccess rolebinding create \
-g myResourceGroup \
--cluster-name myAKSCluster -n test-binding \
--source-resource-id /subscriptions/000-000-000-000-000/resourceGroups/myResourceGroup/providers/Microsoft.MachineLearningServices/workspaces/MyMachineLearning \
--roles Microsoft.Compute/virtualMachineScaleSets/test-node-reader,Microsoft.Compute/virtualMachineScaleSets/test-admin
Meglévő Megbízható hozzáférés szerepkör-kötés frissítése
Egy meglévő, társított forrásszolgáltatással rendelkező szerepkörkötés esetén a szerepkörkötést új szerepkörökkel frissítheti.
Feljegyzés
A bővítménykezelő öt percenként frissíti a fürtöket, így az új szerepkör-kötés érvénybe lépése akár öt percet is igénybe vehet. Az új szerepkörkötés érvénybe lépése előtt a meglévő szerepkörkötés továbbra is működik.
Az aktuális szerepkörkötés ellenőrzéséhez használhatja az aks trusted access rolebinding list --name <role binding name> --resource-group <resource group>
.
# Update the RoleBinding command
az aks trustedaccess rolebinding update --resource-group <AKS resource group> --cluster-name <AKS cluster name> -n <existing role binding name> --roles <newRoleName1, newRoleName2>
Példa:
# Update the RoleBinding command with sample resource group, cluster, and roles
az aks trustedaccess rolebinding update \
--resource-group myResourceGroup \
--cluster-name myAKSCluster -n test-binding \
--roles Microsoft.Compute/virtualMachineScaleSets/test-node-reader,Microsoft.Compute/virtualMachineScaleSets/test-admin
Megbízható hozzáférés szerepkör kötésének megjelenítése
Egy adott Megbízható hozzáférés szerepkör kötésének megjelenítése a az aks trustedaccess rolebinding show
parancs használatával:
az aks trustedaccess rolebinding show --name <role binding name> --resource-group <AKS resource group> --cluster-name <AKS cluster name>
A fürthöz tartozó összes Megbízható hozzáférés szerepkör-kötés listázása
A parancs használatával az aks trustedaccess rolebinding list
listázhatja egy fürt megbízható hozzáférésű szerepkör-kötéseit:
az aks trustedaccess rolebinding list --resource-group <AKS resource group> --cluster-name <AKS cluster name>
Fürt megbízható hozzáférésű szerepkör-kötésének törlése
Figyelmeztetés
Ha töröl egy meglévő megbízható hozzáférési szerepkör-kötést, az leválasztja az Azure-szolgáltatást az AKS-fürtről.
Töröljön egy meglévő megbízható hozzáférésű szerepkör-kötést a az aks trustedaccess rolebinding delete
következő paranccsal:
az aks trustedaccess rolebinding delete --name <role binding name> --resource-group <AKS resource group> --cluster-name <AKS cluster name>