Szerepköralapú hozzáférés-vezérlés az Azure Operator Nexus Kubernetes-fürtökben
Ez a cikk átfogó útmutatót nyújt a Nexus Kubernetes-fürtök hozzáférésének a Microsoft Entra ID használatával történő kezeléséhez. Konkrétan a szerepköralapú hozzáférés-vezérlésre összpontosítunk, amely lehetővé teszi, hogy engedélyeket adjon a felhasználóknak a szervezeten belüli szerepköreik vagy feladataik alapján.
Előkészületek
- Először hozzon létre egy Microsoft Entra-csoportot a fürtgazdák számára, és rendeljen hozzá tagokat. A Microsoft Entra ID lehetővé teszi a hozzáférést a csoport egészének, ahelyett, hogy egyenként kezelned kellene az egyes felhasználók engedélyeit.
- A Nexus Kubernetes-fürt létrehozásakor használja az adminGroupObjectIds értékként létrehozott csoportazonosítót, hogy a csoport tagjai megkapják a fürt kezeléséhez szükséges engedélyeket. A Nexus Kubernetes-fürt létrehozásával és elérésével kapcsolatos útmutatásért tekintse meg a rövid útmutatót.
Rendszergazda hozzáférés a fürthöz
A Nexus létrehoz egy Kubernetes-fürtszerepkör-kötést az alapértelmezett Kubernetes-szerepkörrel cluster-admin
és a Megadott adminGroupObjectIds
Microsoft Entra-csoportokkal. A fürtgazdák teljes hozzáféréssel rendelkeznek a fürthöz, és minden műveletet végrehajthatnak a fürtön. A fürtgazdák a megfelelő Microsoft Entra-csoporthoz rendelve más felhasználók számára is hozzáférést biztosíthatnak.
Megjegyzés:
A Nexus Kubernetes-fürt létrehozásakor a Nexus automatikusan létrehoz egy felügyelt erőforráscsoportot, amely a fürt erőforrásainak tárolására van kijelölve. Ebben a csoportban létrejön az Archoz csatlakoztatott fürterőforrás.
A fürt eléréséhez be kell állítania a fürtcsatlakozás kubeconfig
beállítását. Miután bejelentkezett az Azure CLI-be a megfelelő Microsoft Entra entitással, bárhonnan beszerezheti a kubeconfig
fürttel való kommunikációhoz szükséges adatokat, még az azt körülvevő tűzfalon kívül is.
Beállítás
CLUSTER_NAME
ésRESOURCE_GROUP
SUBSCRIPTION_ID
változók.CLUSTER_NAME="myNexusK8sCluster" RESOURCE_GROUP="myResourceGroup" SUBSCRIPTION_ID=<set the correct subscription_id>
Felügyelt erőforráscsoport lekérdezése és
az
tárolásaMANAGED_RESOURCE_GROUP
az account set -s $SUBSCRIPTION_ID MANAGED_RESOURCE_GROUP=$(az networkcloud kubernetescluster show -n $CLUSTER_NAME -g $RESOURCE_GROUP --output tsv --query managedResourceGroupConfiguration.name)
Az alábbi parancs elindít egy connectedk8s proxyt, amely lehetővé teszi a megadott Nexus Kubernetes-fürt Kubernetes API-kiszolgálóhoz való csatlakozását.
az connectedk8s proxy -n $CLUSTER_NAME -g $MANAGED_RESOURCE_GROUP &
Kérések
kubectl
küldése a fürtnek:kubectl get pods -A
Ekkor megjelenik a fürt válasza, amely tartalmazza az összes csomópont listáját.
Megjegyzés:
Ha a következő hibaüzenet jelenik meg: "Nem sikerült közzétenni a hozzáférési jogkivonatot az ügyfélproxyhozAz MSI-hez való csatlakozáshoz nem sikerült közzétenni", előfordulhat, hogy újra kell hitelesítenie az login
magát az Azure-ral.
Role-based access control
Rendszergazdaként szerepköralapú hozzáférés-vezérlést biztosíthat a fürthöz egy szerepkör-kötés létrehozásával a Microsoft Entra-csoport objektumazonosítójával. Azoknak a felhasználóknak, akiknek csak "megtekintési" engedélyekre van szükségük, a feladatot úgy végezheti el, hogy hozzáadja őket egy Microsoft Entra-csoporthoz, amely a "nézet" szerepkörhöz van kötve.
Hozzon létre egy Microsoft Entra-csoportot azoknak a felhasználóknak, akiknek "megtekintési" hozzáférésre van szükségük, hivatkozva az alapértelmezett Kubernetes-szerepkörre.
view
Ez a szerepkör csak egy példa, és szükség esetén létrehozhat egyéni szerepköröket, és használhatja őket. A Kubernetes felhasználói szerepköreivel kapcsolatos további információkért tekintse meg a Kubernetes roll-alapú hozzáférési szerepköreinek hivatalos dokumentációját.Jegyezze fel a létrehozáskor létrehozott Microsoft Entra-csoportobjektum-azonosítót.
A kubectl paranccsal hozzon létre egy fürtrolebindinget a "view" szerepkörrel, és társítsa azt a Microsoft Entra csoporthoz. Cserélje le
AZURE_AD_GROUP_OBJECT_ID
a Microsoft Entra-csoport objektumazonosítójára.kubectl create clusterrolebinding nexus-read-only-users --clusterrole view --group=AZURE_AD_GROUP_OBJECT_ID
Ez a parancs létrehoz egy fürtszerepkör-kötést, amely
nexus-read-only-users
hozzárendeli aview
szerepkört a megadott Microsoft Entra-csoport tagjaihoz.Ellenőrizze, hogy a szerepkör-kötés sikeresen létrejött-e.
kubectl get clusterrolebinding nexus-read-only-users
A Microsoft Entra csoport felhasználói mostantól "megtekintési" hozzáféréssel rendelkeznek a fürthöz. Az erőforrások megtekintésével hozzáférhetnek a fürthöz
az connectedk8s proxy
, de nem végezhetnek módosításokat
Következő lépések
A hozzáférés-vezérlés finomhangolásához egyéni szerepköröket hozhat létre adott engedélyekkel. Ezeknek a szerepköröknek a létrehozása magában foglalja a Kubernetes natív RoleBinding vagy ClusterRoleBinding erőforrásait. A kubernetes hivatalos dokumentációjában részletes útmutatást talál az egyéni szerepkörök és szerepkör-kötések igény szerinti létrehozásáról.