Azure RBAC pada kluster Kubernetes dengan dukungan Azure Arc (pratinjau)
Jenis objek Kube ClusterRoleBinding dan RoleBinding membantu menentukan otorisasi pada Kube secara asli. Dengan kontrol akses berbasis peran Azure (Azure RBAC), Anda dapat menggunakan ID Microsoft Entra dan penetapan peran di Azure untuk mengontrol pemeriksaan otorisasi pada kluster. Ini memungkinkan manfaat penetapan peran Azure, seperti log aktivitas yang menunjukkan semua perubahan Azure RBAC pada sumber daya Azure, untuk digunakan dengan kluster Kubernetes dengan dukungan Azure Arc Anda.
Penting
Fitur pratinjau Kubernetes yang mendukung Azure Arc tersedia berdasarkan layanan mandiri dan keikutsertaan. Pratinjau disediakan "apa adanya" dan "sebagaimana tersedia," dan mereka dikecualikan dari perjanjian tingkat layanan dan garansi terbatas. Pratinjau Kubernetes yang mendukung Azure Arc sebagian tercakup oleh dukungan pelanggan berdasarkan upaya terbaik.
Arsitektur
Untuk merutekan semua pemeriksaan akses otorisasi ke layanan otorisasi di Azure, server webhook(penjaga)digunakan pada klaster.
Klaster apiserver
dikonfigurasi untuk menggunakan otentikasi token webhook dan otorisasi webhookTokenAccessReview
SubjectAccessReview
sehingga dan permintaan dialihkan ke server webhook penjaga. Permintaan TokenAccessReview
tersebut dipicu oleh permintaan sumber daya SubjectAccessReview
Kubernetes yang dikirimkan ke apiserver
.
Guard kemudian melakukan checkAccess
panggilan pada layanan otorisasi di Azure untuk melihat apakah entitas Microsoft Entra yang meminta memiliki akses ke sumber daya yang menjadi perhatian.
Jika entitas tersebut memiliki peran yang mengizinkan akses ini, allowed
respons dikirim dari layanan otorisasi untuk dijaga. Guard, pada gilirannya, allowed
mengirimkan respons ke , memungkinkan entitas panggilan untuk mengakses sumber daya apiserver
Kubernetes yang diminta.
Jika entitas tidak memiliki peran yang mengizinkan akses ini, denied
respons dikirim dari layanan otorisasi untuk dijaga. Guard mengirimkan respons denied
ke apiserver
memberikan entitas panggilan kesalahan terlarang 403 pada sumber daya yang diminta.
Langkah berikutnya
- Pelajari mulai cepat kami untuk menyambungkan kluster Kube ke Azure Arc.
- Siapkan Azure RBAC di kluster Kubernetes dengan dukungan Azure Arc.