Élő adatok konfigurálása a Container Insightsban
Ha az Azure Kubernetes Service-fürtökből származó Container Insights használatával szeretné megtekinteni az élő adatokat, konfigurálja a hitelesítést úgy, hogy engedélyt adjon a Kubernetes-adatok elérésére. Ez a biztonsági konfiguráció valós idejű hozzáférést tesz lehetővé az adatokhoz a Kubernetes API-val közvetlenül az Azure Portalon.
Ez a funkció a naplókhoz, eseményekhez és metrikákhoz való hozzáférés szabályozásához a következő módszereket támogatja:
- AKS kubernetes szerepköralapú hozzáférés-vezérlés (RBAC) engedélyezése nélkül engedélyezve
- Kubernetes RBAC-engedélyezéssel engedélyezett AKS
- A fürtszerepkör-kötési fürttel konfigurált AKSMonitoringUser
- AKS engedélyezve a Microsoft Entra SAML-alapú egyszeri bejelentkezéssel
Ezek az utasítások rendszergazdai hozzáférést igényelnek a Kubernetes-fürthöz. Ha úgy konfigurálja, hogy a Microsoft Entra-azonosítót használja a felhasználói hitelesítéshez, rendszergazdai hozzáférésre van szüksége a Microsoft Entra-azonosítóhoz is.
Ez a cikk bemutatja, hogyan konfigurálhatja a hitelesítést az élő adatok fürtből való hozzáférésének szabályozásához:
- Kubernetes RBAC-kompatibilis AKS-fürt
- Microsoft Entra integrált AKS-fürt
Hitelesítési modell
Az Élő adatok funkció a Kubernetes API-t használja, amely megegyezik a kubectl parancssori eszközzel. A Kubernetes API-végpontok önaláírt tanúsítványt használnak, amelyet a böngésző nem fog ellenőrizni. Ez a funkció egy belső proxy használatával ellenőrzi a tanúsítványt az AKS szolgáltatással, biztosítva a forgalom megbízhatóságát.
Az Azure Portal kéri, hogy ellenőrizze a bejelentkezési hitelesítő adatait egy Microsoft Entra ID-fürthöz. Átirányítja önt az ügyfélregisztrációs beállításhoz a fürt létrehozása során (és a cikkben újrakonfigurálva). Ez a viselkedés hasonló a szükséges hitelesítési folyamathoz kubectl.
Feljegyzés
A fürthöz való engedélyezést a Kubernetes és a vele konfigurált biztonsági modell felügyeli. A szolgáltatáshoz hozzáférő felhasználóknak engedélyt kell kérni a Kubernetes-konfiguráció (kubeconfig) letöltéséhez, amely hasonló a futtatáshoz az aks get-credentials -n {your cluster name} -g {your resource group}.
Ez a konfigurációs fájl tartalmazza az Azure Kubernetes-szolgáltatásfürt felhasználói szerepkörének engedélyezési és hitelesítési jogkivonatát, ha az Azure RBAC engedélyezve van, és a Kubernetes RBAC-engedélyezést nem engedélyező AKS-fürtök esetében. Információkat tartalmaz a Microsoft Entra-azonosítóról és az ügyfélregisztrációs adatokról, ha az AKS engedélyezve van a Microsoft Entra SAML-alapú egyszeri bejelentkezéssel.
A szolgáltatás felhasználóinak az Azure Kubernetes-fürt felhasználói szerepkörére van szükségük ahhoz, hogy elérhessék a fürtöt a kubeconfig szolgáltatás letöltéséhez és használatához. A felhasználók nem igényelnek közreműködői hozzáférést a fürthöz a funkció használatához.
A clusterMonitoringUser használata Kubernetes RBAC-kompatibilis fürtökkel
Annak érdekében, hogy a Kubernetes RBAC-engedélyezés engedélyezése után ne kelljen további konfigurációmódosításokat alkalmaznia ahhoz, hogy a Kubernetes felhasználói szerepkör-kötési fürt hozzáférése engedélyezve legyen az Élő adatok szolgáltatáshoz, az AKS hozzáadott egy új Kubernetes-fürtszerepkör-kötést, a clusterMonitoringUser nevet. Ez a fürtszerepkör-kötés minden szükséges engedéllyel rendelkezik a Kubernetes API és az Élő adatok szolgáltatás használatához szükséges végpontok eléréséhez.
Az Élő adatok funkció új felhasználóval való használatához az AKS-fürterőforrás Azure Kubernetes-szolgáltatásfürt-felhasználójának vagy közreműködői szerepkörének kell lennie. Ha engedélyezve van a tárolóelemzés, alapértelmezés szerint hitelesítésre clusterMonitoringUser van konfigurálva. Ha a clusterMonitoringUser szerepkör-kötés nem létezik fürtön, a clusterUser helyett a fürtfelhasználót használja a hitelesítéshez. A közreműködő hozzáférést clusterMonitoringUser biztosít (ha létezik), és az Azure Kubernetes szolgáltatásfürt felhasználója hozzáférést biztosít a clusterUserhez. A két szerepkör bármelyike megfelelő hozzáférést biztosít a funkció használatához.
Az AKS 2020 januárjában adta ki ezt az új szerepkörkötést, így a 2020. január előtt létrehozott fürtök nem rendelkeznek vele. Ha 2020 januárja előtt létrehozott fürttel rendelkezik, az új clusterMonitoringUser hozzáadható egy meglévő fürthöz egy PUT művelet végrehajtásával a fürtön. Vagy bármilyen más műveletet is végrehajthat azon a fürtön, amely PUT műveletet hajt végre a fürtön, például frissítheti a fürtverziót.
Kubernetes-fürt Kubernetes RBAC engedélyezése nélkül
Ha olyan Kubernetes-fürtje van, amely nincs Kubernetes RBAC-hitelesítéssel konfigurálva, vagy a Microsoft Entra egyszeri bejelentkezéssel van integrálva, nem kell követnie ezeket a lépéseket. Alapértelmezés szerint már rendelkezik rendszergazdai engedélyekkel egy nem RBAC-konfigurációban.
Kubernetes RBAC-hitelesítés konfigurálása
Ha engedélyezi a Kubernetes RBAC-hitelesítést, a clusterUser és a clusterAdmin a Kubernetes API eléréséhez használható. Ez a konfiguráció a rendszergazdai lehetőség nélküli futtatáshoz az aks get-credentials -n {cluster_name} -g {rg_name} hasonló. Ezért a clusterUsernek hozzáférést kell biztosítani a Kubernetes API végpontjaihoz.
Az alábbi példalépések bemutatják, hogyan konfigurálhatja a fürtszerepkör-kötést ebből a YAML-konfigurációs sablonból.
Másolja és illessze be a YAML-fájlt, és mentse LogReaderRBAC.yaml néven.
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: containerHealth-log-reader rules: - apiGroups: ["", "metrics.k8s.io", "extensions", "apps"] resources: - "pods/log" - "events" - "nodes" - "pods" - "deployments" - "replicasets" verbs: ["get", "list"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: containerHealth-read-logs-global roleRef: kind: ClusterRole name: containerHealth-log-reader apiGroup: rbac.authorization.k8s.io subjects: - kind: User name: clusterUser apiGroup: rbac.authorization.k8s.ioA konfiguráció frissítéséhez futtassa a parancsot
kubectl apply -f LogReaderRBAC.yaml.
Feljegyzés
Ha a LogReaderRBAC.yaml fájl egy korábbi verzióját alkalmazta a fürtre, frissítse az 1. lépésben látható új kód másolásával és beillesztésével. Ezután futtassa a 2. lépésben látható parancsot a fürtre való alkalmazásához.
A Microsoft Entra integrált hitelesítésének konfigurálása
A Microsoft Entra-azonosító felhasználói hitelesítéshez való használatára konfigurált AKS-fürtök a szolgáltatáshoz hozzáférő személy bejelentkezési hitelesítő adatait használják. Ebben a konfigurációban a Microsoft Entra hitelesítési jogkivonatával bejelentkezhet egy AKS-fürtbe.
A Microsoft Entra-ügyfélregisztrációt újra kell konfigurálni, hogy az Azure Portal megbízható átirányítási URL-címként irányítsa át az engedélyezési lapokat. A Microsoft Entra-azonosító felhasználói ezután közvetlenül hozzáférhetnek ugyanahhoz a Kubernetes API-végponthoz a ClusterRoles és a ClusterRoleBindings használatával.
A Kubernetes speciális biztonsági beállításával kapcsolatos további információkért tekintse át a Kubernetes dokumentációját.
Feljegyzés
Ha új Kubernetes RBAC-kompatibilis fürtöt hoz létre, olvassa el a Microsoft Entra ID integrálása az Azure Kubernetes Service-vel című témakört, és kövesse a Microsoft Entra-hitelesítés konfigurálásához szükséges lépéseket. Az ügyfélalkalmazás létrehozásának lépései során a szakasz megjegyzése kiemeli a 3. lépésben megadottaknak megfelelő tárolóelemzésekhez szükséges két átirányítási URL-címet.
Ügyfélregisztráció újrakonfigurálása
Keresse meg a Kubernetes-fürt ügyfélregisztrációját a Microsoft Entra ID-ban a Microsoft Entra ID> Alkalmazásregisztrációk alatt az Azure Portalon.
A bal oldali panelen válassza a Hitelesítés lehetőséget.
Adjon hozzá két átirányítási URL-címet ehhez a listához webalkalmazás-típusként. Az első alap URL-értéknek a következőnek kell lennie
https://afd.hosting.portal.azure.net/monitoring/Content/iframe/infrainsights.app/web/base-libs/auth/auth.html: . A második alap URL-értéknek a következőnek kell lenniehttps://monitoring.hosting.portal.azure.net/monitoring/Content/iframe/infrainsights.app/web/base-libs/auth/auth.html: .Feljegyzés
Ha ezt a szolgáltatást a 21Vianet által üzemeltetett Microsoft Azure-ban használja, az első alap URL-értéknek kell lennie
https://afd.hosting.azureportal.chinaloudapi.cn/monitoring/Content/iframe/infrainsights.app/web/base-libs/auth/auth.html. A második alap URL-értéknek a következőnek kell lenniehttps://monitoring.hosting.azureportal.chinaloudapi.cn/monitoring/Content/iframe/infrainsights.app/web/base-libs/auth/auth.html: .Az átirányítási URL-címek regisztrálása után az Implicit támogatás területen válassza ki a hozzáférési jogkivonatok és az azonosító jogkivonatok beállításait. Ezután mentse a módosításokat.
A Microsoft Entra-azonosítóval történő hitelesítést csak az új AKS-fürt kezdeti telepítésekor konfigurálhatja egyszeri bejelentkezéshez. A már üzembe helyezett AKS-fürtökhöz nem konfigurálható az egyszeri bejelentkezés.
Fontos
Ha a frissített URI használatával újrakonfigurálta a Microsoft Entra-azonosítót a felhasználói hitelesítéshez, törölje a böngésző gyorsítótárát, hogy a frissített hitelesítési jogkivonat letöltődjön és alkalmazva legyen.
Engedély megadása
Minden Microsoft Entra-fióknak engedélyt kell adnia a Kubernetes megfelelő API-inak az Élő adatok funkció eléréséhez. A Microsoft Entra-fiók megadásának lépései hasonlóak a Kubernetes RBAC hitelesítési szakaszában leírt lépésekhez. Mielőtt a YAML-konfigurációs sablont a fürtre alkalmazza, cserélje le a clusterUser elemet a ClusterRoleBinding alatt a kívánt felhasználóra.
Fontos
Ha a Kubernetes RBAC-kötést megadó felhasználó ugyanabban a Microsoft Entra-bérlőben van, az engedélyek hozzárendelése az alapján userPrincipalNametörténik. Ha a felhasználó egy másik Microsoft Entra-bérlőben van, kérdezze le és használja a tulajdonságot objectId .
Az AKS-fürt ClusterRoleBinding konfigurálásához további segítséget a Kubernetes RBAC-kötés létrehozása című témakörben talál.
Következő lépések
Most, hogy beállította a hitelesítést, valós időben tekintheti meg a metrikákat és eseményeket és naplókat a fürtből.