Azure RBAC pada kluster Kubernetes dengan dukungan Azure Arc (pratinjau)

Jenis objek Kube ClusterRoleBinding dan RoleBinding membantu menentukan otorisasi pada Kube secara asli. Dengan kontrol akses berbasis peran Azure (Azure RBAC), Anda dapat menggunakan ID Microsoft Entra dan penetapan peran di Azure untuk mengontrol pemeriksaan otorisasi pada kluster. Ini memungkinkan manfaat penetapan peran Azure, seperti log aktivitas yang menunjukkan semua perubahan Azure RBAC pada sumber daya Azure, untuk digunakan dengan kluster Kubernetes dengan dukungan Azure Arc Anda.

Penting

Fitur pratinjau Kubernetes yang mendukung Azure Arc tersedia berdasarkan layanan mandiri dan keikutsertaan. Pratinjau disediakan "apa adanya" dan "sebagaimana tersedia," dan mereka dikecualikan dari perjanjian tingkat layanan dan garansi terbatas. Pratinjau Kubernetes yang mendukung Azure Arc sebagian tercakup oleh dukungan pelanggan berdasarkan upaya terbaik.

Arsitektur

Untuk merutekan semua pemeriksaan akses otorisasi ke layanan otorisasi di Azure, server webhook(penjaga)digunakan pada klaster.

Klaster apiserver dikonfigurasi untuk menggunakan otentikasi token webhook dan otorisasi webhookTokenAccessReviewSubjectAccessReview sehingga dan permintaan dialihkan ke server webhook penjaga. Permintaan TokenAccessReview tersebut dipicu oleh permintaan sumber daya SubjectAccessReview Kubernetes yang dikirimkan ke apiserver.

Guard kemudian melakukan checkAccess panggilan pada layanan otorisasi di Azure untuk melihat apakah entitas Microsoft Entra yang meminta memiliki akses ke sumber daya yang menjadi perhatian.

Jika entitas tersebut memiliki peran yang mengizinkan akses ini, allowed respons dikirim dari layanan otorisasi untuk dijaga. Guard, pada gilirannya, allowed mengirimkan respons ke , memungkinkan entitas panggilan untuk mengakses sumber daya apiserver Kubernetes yang diminta.

Jika entitas tidak memiliki peran yang mengizinkan akses ini, denied respons dikirim dari layanan otorisasi untuk dijaga. Guard mengirimkan respons denied ke apiserver memberikan entitas panggilan kesalahan terlarang 403 pada sumber daya yang diminta.

Langkah berikutnya

• Pelajari mulai cepat kami untuk menyambungkan kluster Kube ke Azure Arc.
• Siapkan Azure RBAC di kluster Kubernetes dengan dukungan Azure Arc.