Biztonságos hozzáférés az Azure-erőforrásokhoz az Azure Kubernetes Service-ben a Megbízható hozzáférés használatával

Az Azure Kubernetes Service-vel (AKS) integrálható Számos Azure-szolgáltatásnak hozzá kell férnie a Kubernetes API-kiszolgálóhoz. A szolgáltatások rendszergazdai hozzáférésének biztosítása vagy az AKS-fürtök hálózati hozzáféréshez való nyilvánossá tétele érdekében használhatja az AKS Megbízható hozzáférés funkciót.

Ez a funkció biztonságos hozzáférést biztosít a szolgáltatások számára az AKS API-kiszolgálóhoz az Azure háttérrendszerének használatával, privát végpont megkövetelése nélkül. AHelyett, hogy Microsoft Entra-engedélyekkel rendelkező identitásokra támaszkodna, ez a funkció a rendszer által hozzárendelt felügyelt identitással hitelesítheti az AKS-fürtökkel használni kívánt felügyelt szolgáltatásokkal és alkalmazásokkal.

Ez a cikk bemutatja, hogyan szerezhet biztonságos hozzáférést az Azure-szolgáltatásokhoz a Kubernetes API-kiszolgálóhoz az AKS-ben a Megbízható hozzáférés használatával.

Feljegyzés

A Trusted Access API általánosan elérhető. Általános rendelkezésre állási (GA) támogatást biztosítunk az Azure CLI-hez, de még előzetes verzióban van, és az aks-preview bővítmény használatát igényli.

A Megbízható hozzáférés funkció áttekintése

A Megbízható hozzáférés a következő forgatókönyveket kezeli:

• Ha egy engedélyezett IP-címtartomány be van állítva vagy egy privát fürtben, előfordulhat, hogy az Azure-szolgáltatások csak akkor férhetnek hozzá a Kubernetes API-kiszolgálóhoz, ha magánvégpont-hozzáférési modellt implementál.

• Az Azure-szolgáltatás rendszergazdájának a Kubernetes API-hoz való hozzáférésének biztosítása nem követi a legkevésbé ajánlott jogosultsági hozzáférési gyakorlatot, és a jogosultságok eszkalációjához vagy a hitelesítő adatok kiszivárgásának kockázatához vezethet. Előfordulhat például, hogy magas jogosultságú szolgáltatások közötti engedélyeket kell implementálnia, és ezek nem ideálisak egy auditvizsgálat során.

A Megbízható hozzáférés használatával kifejezett hozzájárulást adhat a rendszer által hozzárendelt felügyelt identitáshoz az engedélyezett erőforrások számára az AKS-fürtök eléréséhez egy szerepkörkötésnek nevezett Azure-erőforrás használatával. Az Azure-erőforrások a rendszer által hozzárendelt felügyelt identitás hitelesítésével férnek hozzá az AKS-fürtökhöz az AKS regionális átjárón keresztül. A megfelelő Kubernetes-engedélyek egy szerepkörnek nevezett Azure-erőforráson keresztül vannak hozzárendelve. A Megbízható hozzáférés szolgáltatással különböző konfigurációjú AKS-fürtöket érhet el, többek között privát fürtöket, helyi fiókokat kikapcsolt fürtöket, Microsoft Entra-fürtöket és engedélyezett IP-tartományfürtöket.

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
• A rendszer által hozzárendelt felügyelt identitást támogató erőforrástípusok.
• Az Azure CLI 2.53.0-s vagy újabb verziója. Futtassa az --version a verziót. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
• A különböző forgatókönyvekben használandó szerepkörökről az alábbi cikkekből tájékozódhat:
  • Az Azure Machine Tanulás hozzáférése speciális konfigurációjú AKS-fürtökhöz
  • Mi az Azure Kubernetes Service biztonsági mentés?
  • Ügynök nélküli tárolótartás bekapcsolása

AKS-fürt létrehozása

A fürthöz elérni kívánt Azure-erőforrással megegyező előfizetésben hozzon létre egy AKS-fürtöt.

Válassza ki a szükséges megbízható hozzáférési szerepköröket

A kiválasztott szerepkörök az AKS-fürthöz elérni kívánt Azure-szolgáltatásoktól függnek. Az Azure-szolgáltatások segítenek olyan szerepkörök és szerepkör-kötések létrehozásában, amelyek az Azure-szolgáltatás és az AKS közötti kapcsolatot építik ki.

Megbízható hozzáférési szerepkör kötésének létrehozása

Miután megerősítette, hogy melyik szerepkört szeretné használni, az Azure CLI használatával hozzon létre egy megbízható hozzáférésű szerepkör-kötést az AKS-fürtben. A szerepkör-kötés társítja a kiválasztott szerepkört az Azure-szolgáltatáshoz.

# Create a Trusted Access role binding in an AKS cluster

az aks trustedaccess rolebinding create  --resource-group <AKS resource group> --cluster-name <AKS cluster name> -n <role binding name> -s <connected service resource ID> --roles <roleName1, roleName2>

Példa:

# Sample command

az aks trustedaccess rolebinding create \
-g myResourceGroup \
--cluster-name myAKSCluster -n test-binding \
--source-resource-id /subscriptions/000-000-000-000-000/resourceGroups/myResourceGroup/providers/Microsoft.MachineLearningServices/workspaces/MyMachineLearning \
--roles Microsoft.Compute/virtualMachineScaleSets/test-node-reader,Microsoft.Compute/virtualMachineScaleSets/test-admin

Meglévő Megbízható hozzáférés szerepkör-kötés frissítése

Egy meglévő, társított forrásszolgáltatással rendelkező szerepkörkötés esetén a szerepkörkötést új szerepkörökkel frissítheti.

Feljegyzés

A bővítménykezelő öt percenként frissíti a fürtöket, így az új szerepkör-kötés érvénybe lépése akár öt percet is igénybe vehet. Az új szerepkörkötés érvénybe lépése előtt a meglévő szerepkörkötés továbbra is működik.

Az aktuális szerepkörkötés ellenőrzéséhez használhatja az aks trusted access rolebinding list --name <role binding name> --resource-group <resource group> .

# Update the RoleBinding command

az aks trustedaccess rolebinding update --resource-group <AKS resource group> --cluster-name <AKS cluster name> -n <existing role binding name>  --roles <newRoleName1, newRoleName2>

Példa:

# Update the RoleBinding command with sample resource group, cluster, and roles

az aks trustedaccess rolebinding update \
--resource-group myResourceGroup \
--cluster-name myAKSCluster -n test-binding \
--roles Microsoft.Compute/virtualMachineScaleSets/test-node-reader,Microsoft.Compute/virtualMachineScaleSets/test-admin

Megbízható hozzáférés szerepkör kötésének megjelenítése

Egy adott Megbízható hozzáférés szerepkör kötésének megjelenítése a az aks trustedaccess rolebinding show parancs használatával:

az aks trustedaccess rolebinding show --name <role binding name> --resource-group <AKS resource group> --cluster-name <AKS cluster name>

A fürthöz tartozó összes Megbízható hozzáférés szerepkör-kötés listázása

A parancs használatával az aks trustedaccess rolebinding list listázhatja egy fürt megbízható hozzáférésű szerepkör-kötéseit:

az aks trustedaccess rolebinding list --resource-group <AKS resource group> --cluster-name <AKS cluster name>

Fürt megbízható hozzáférésű szerepkör-kötésének törlése

Figyelmeztetés

Ha töröl egy meglévő megbízható hozzáférési szerepkör-kötést, az leválasztja az Azure-szolgáltatást az AKS-fürtről.

Töröljön egy meglévő megbízható hozzáférésű szerepkör-kötést a az aks trustedaccess rolebinding delete következő paranccsal:

az aks trustedaccess rolebinding delete --name <role binding name> --resource-group <AKS resource group> --cluster-name <AKS cluster name>

Kapcsolódó tartalom

• Fürtbővítmények üzembe helyezése és kezelése az AKS-hez
• Az Azure Machine Tanulás bővítmény üzembe helyezése AKS- vagy Azure Arc-kompatibilis Kubernetes-fürtön
• Az Azure Backup üzembe helyezése AKS-fürtön
• Ügynök nélküli tároló helyzetének beállítása egy AKS-fürt Felhőhöz készült Microsoft Defender