Szerepköralapú hozzáférés-vezérlés az Azure Operator Nexus Kubernetes-fürtökben

Ez a cikk átfogó útmutatót nyújt a Nexus Kubernetes-fürtök hozzáférésének a Microsoft Entra ID használatával történő kezeléséhez. Konkrétan a szerepköralapú hozzáférés-vezérlésre összpontosítunk, amely lehetővé teszi, hogy engedélyeket adjon a felhasználóknak a szervezeten belüli szerepköreik vagy feladataik alapján.

Előkészületek

1. Először hozzon létre egy Microsoft Entra-csoportot a fürtgazdák számára, és rendeljen hozzá tagokat. A Microsoft Entra ID lehetővé teszi a hozzáférést a csoport egészének, ahelyett, hogy egyenként kezelned kellene az egyes felhasználók engedélyeit.
2. A Nexus Kubernetes-fürt létrehozásakor használja az adminGroupObjectIds értékként létrehozott csoportazonosítót, hogy a csoport tagjai megkapják a fürt kezeléséhez szükséges engedélyeket. A Nexus Kubernetes-fürt létrehozásával és elérésével kapcsolatos útmutatásért tekintse meg a rövid útmutatót.

Rendszergazda hozzáférés a fürthöz

A Nexus létrehoz egy Kubernetes-fürtszerepkör-kötést az alapértelmezett Kubernetes-szerepkörrel cluster-admin és a Megadott adminGroupObjectIdsMicrosoft Entra-csoportokkal. A fürtgazdák teljes hozzáféréssel rendelkeznek a fürthöz, és minden műveletet végrehajthatnak a fürtön. A fürtgazdák a megfelelő Microsoft Entra-csoporthoz rendelve más felhasználók számára is hozzáférést biztosíthatnak.

Megjegyzés:

A Nexus Kubernetes-fürt létrehozásakor a Nexus automatikusan létrehoz egy felügyelt erőforráscsoportot, amely a fürt erőforrásainak tárolására van kijelölve. Ebben a csoportban létrejön az Archoz csatlakoztatott fürterőforrás.

A fürt eléréséhez be kell állítania a fürtcsatlakozás kubeconfigbeállítását. Miután bejelentkezett az Azure CLI-be a megfelelő Microsoft Entra entitással, bárhonnan beszerezheti a kubeconfig fürttel való kommunikációhoz szükséges adatokat, még az azt körülvevő tűzfalon kívül is.

1. Beállítás CLUSTER_NAMEés RESOURCE_GROUPSUBSCRIPTION_ID változók.

   CLUSTER_NAME="myNexusK8sCluster"
   RESOURCE_GROUP="myResourceGroup"
   SUBSCRIPTION_ID=<set the correct subscription_id>
   

2. Felügyelt erőforráscsoport lekérdezése és az tárolása MANAGED_RESOURCE_GROUP

    az account set -s $SUBSCRIPTION_ID
    MANAGED_RESOURCE_GROUP=$(az networkcloud kubernetescluster show -n $CLUSTER_NAME -g $RESOURCE_GROUP --output tsv --query managedResourceGroupConfiguration.name)
   

3. Az alábbi parancs elindít egy connectedk8s proxyt, amely lehetővé teszi a megadott Nexus Kubernetes-fürt Kubernetes API-kiszolgálóhoz való csatlakozását.

   az connectedk8s proxy -n $CLUSTER_NAME  -g $MANAGED_RESOURCE_GROUP &
   

4. Kérések kubectl küldése a fürtnek:

   kubectl get pods -A
   

   Ekkor megjelenik a fürt válasza, amely tartalmazza az összes csomópont listáját.

Megjegyzés:

Ha a következő hibaüzenet jelenik meg: "Nem sikerült közzétenni a hozzáférési jogkivonatot az ügyfélproxyhozAz MSI-hez való csatlakozáshoz nem sikerült közzétenni", előfordulhat, hogy újra kell hitelesítenie az login magát az Azure-ral.

Role-based access control

Rendszergazdaként szerepköralapú hozzáférés-vezérlést biztosíthat a fürthöz egy szerepkör-kötés létrehozásával a Microsoft Entra-csoport objektumazonosítójával. Azoknak a felhasználóknak, akiknek csak "megtekintési" engedélyekre van szükségük, a feladatot úgy végezheti el, hogy hozzáadja őket egy Microsoft Entra-csoporthoz, amely a "nézet" szerepkörhöz van kötve.

1. Hozzon létre egy Microsoft Entra-csoportot azoknak a felhasználóknak, akiknek "megtekintési" hozzáférésre van szükségük, hivatkozva az alapértelmezett Kubernetes-szerepkörre.view Ez a szerepkör csak egy példa, és szükség esetén létrehozhat egyéni szerepköröket, és használhatja őket. A Kubernetes felhasználói szerepköreivel kapcsolatos további információkért tekintse meg a Kubernetes roll-alapú hozzáférési szerepköreinek hivatalos dokumentációját.

2. Jegyezze fel a létrehozáskor létrehozott Microsoft Entra-csoportobjektum-azonosítót.

3. A kubectl paranccsal hozzon létre egy fürtrolebindinget a "view" szerepkörrel, és társítsa azt a Microsoft Entra csoporthoz. Cserélje le AZURE_AD_GROUP_OBJECT_ID a Microsoft Entra-csoport objektumazonosítójára.

   kubectl create clusterrolebinding nexus-read-only-users --clusterrole view --group=AZURE_AD_GROUP_OBJECT_ID
   

   Ez a parancs létrehoz egy fürtszerepkör-kötést, amely nexus-read-only-users hozzárendeli a view szerepkört a megadott Microsoft Entra-csoport tagjaihoz.

4. Ellenőrizze, hogy a szerepkör-kötés sikeresen létrejött-e.

   kubectl get clusterrolebinding nexus-read-only-users
   

5. A Microsoft Entra csoport felhasználói mostantól "megtekintési" hozzáféréssel rendelkeznek a fürthöz. Az erőforrások megtekintésével hozzáférhetnek a fürthöz az connectedk8s proxy , de nem végezhetnek módosításokat

Következő lépések

A hozzáférés-vezérlés finomhangolásához egyéni szerepköröket hozhat létre adott engedélyekkel. Ezeknek a szerepköröknek a létrehozása magában foglalja a Kubernetes natív RoleBinding vagy ClusterRoleBinding erőforrásait. A kubernetes hivatalos dokumentációjában részletes útmutatást talál az egyéni szerepkörök és szerepkör-kötések igény szerinti létrehozásáról.