Manajemen identitas dan akses untuk Kubernetes dengan dukungan Azure Arc
Kubernetes dengan dukungan Azure Arc mendukung lingkungan lokal dan cloud lainnya yang terintegrasi dengan sistem manajemen identitas dan akses yang berbeda. Selain kontrol akses berbasis peran kluster Kubernetes (RBAC) yang ada, Kubernetes dengan dukungan Azure Arc mendukung Azure RBAC untuk menyatukan manajemen akses di seluruh kluster Kubernetes dan meminimalkan overhead operasional.
Kombinasi model RBAC yang harus digunakan organisasi Anda bergantung pada kebutuhan penggunaan yang dimiliki organisasi Anda. Beberapa contohnya adalah:
- Onboarding kluster Kubernetes ke Azure Arc
- Mengelola kluster Kubernetes dengan dukungan Arc
- Menginstal ekstensi kluster Azure Arc
- Menjalankan aplikasi pada kluster Kubernetes dengan dukungan Arc
- Menggunakan Azure RBAC untuk mengakses sumber daya Azure
Memahami kebutuhan organisasi dan kemampuan Kubernetes dengan dukungan Azure Arc memungkinkan Anda memilih model RBAC terbaik untuk infrastruktur, keamanan, dan persyaratan tata kelola spesifik saat Anda membangun kluster Kubernetes dengan dukungan Arc.
Artikel ini menjelaskan arsitektur manajemen identitas dan akses (IAM) Kubernetes dengan dukungan Azure Arc, pertimbangan desain, rekomendasi, dan kontrol akses berbasis peran untuk berbagai skenario.
Arsitektur
Untuk merancang arsitektur yang tepat untuk organisasi, Anda perlu memahami mode konektivitas Kubernetes dengan dukungan Arc. Azure RBAC hanya didukung dalam mode tersambung sepenuhnya, bukan mode semi-tersambung.
Azure RBAC pada Kubernetes dengan dukungan Azure Arc
Diagram berikut menunjukkan berbagai komponen Kubernetes dengan dukungan Azure Arc dan bagaimana mereka berinteraksi saat Azure RBAC digunakan untuk mengelola kluster Kubernetes.
Akses kluster Kubernetes dengan dukungan Azure Arc dengan aman dari mana saja
Diagram berikut menampilkan akses kluster Kubernetes dengan dukungan Azure Arc dari mana saja dan menunjukkan bagaimana komponen berinteraksi satu sama lain untuk mengelola kluster menggunakan Azure RBAC.
Pertimbangan Desain
Tinjau area desain manajemen identitas dan akses zona pendaratan Azure untuk menilai efek Kubernetes dengan dukungan Azure Arc pada identitas keseluruhan dan model akses Anda.
Untuk onboarding kluster Kubernetes:
- Putuskan antara pengguna Microsoft Entra (untuk orientasi manual kluster tunggal) vs perwakilan layanan (untuk onboarding berskrip dan headless dari beberapa kluster) untuk onboarding kluster Kubernetes ke Azure Arc satu per satu atau dalam skala besar. Untuk detail implementasi selengkapnya, lihat area desain kritis Disiplin Automation.
- Identitas entitas onboarding harus memiliki ClusterRoleBinding cluster-admin pada kluster. Putuskan antara menggunakan pengguna dari penyedia identitas lokal atau cloud lainnya atau menggunakan akun layanan Kubernetes dengan peran admin kluster.
Untuk manajemen kluster Kubernetes:
- Karena Kubernetes dengan dukungan Azure Arc membawa autentikasi Microsoft Entra dan Azure RBAC ke lingkungan Kubernetes lokal atau cloud lainnya, Anda harus memutuskan antara manajemen akses Kubernetes yang ada dan Azure RBAC, tergantung pada persyaratan keamanan dan tata kelola organisasi Anda.
- Tentukan apakah Kluster Kubernetes dengan dukungan Azure Arc Koneksi memberi Anda fleksibilitas untuk mengelola kluster Kubernetes tanpa port firewall masuk terbuka untuk jaringan lokal atau cloud lainnya.
- Tentukan apakah Azure RBAC adalah pilihan yang tepat ketika Anda memiliki banyak kluster Kubernetes yang berjalan di lingkungan lokal dan cloud lainnya dan Anda perlu menyederhanakan administrasi kluster di semua kluster Kubernetes.
Rekomendasi desain
Untuk onboarding kluster Kubernetes:
- Gunakan grup keamanan Microsoft Entra untuk memberikan peran RBAC kluster Kubernetes dengan dukungan Azure Arc untuk onboarding dan mengelola kluster Kubernetes dengan dukungan Azure Arc.
Untuk manajemen kluster Kubernetes:
Jika identitas lokal Anda disinkronkan dengan ID Microsoft Entra, gunakan identitas yang sama saat menggunakan Azure RBAC untuk manajemen kluster.
Sederhanakan manajemen akses Anda dengan membuat grup keamanan dan memetakannya ke peran Azure RBAC yang didukung oleh Kubernetes dengan dukungan Azure Arc. Tetapkan izin ke grup keamanan ini di grup sumber daya atau tingkat langganan tergantung pada organisasi sumber daya dan persyaratan tata kelola Anda. Untuk informasi selengkapnya, lihat area desain penting Organisasi Sumber Daya.
Catatan
Kubernetes dengan dukungan Azure Arc tidak mendukung pengguna dengan lebih dari 200 keanggotaan grup keamanan dan sebaliknya akan memberikan kesalahan autentikasi.
Hindari penetapan pengguna langsung ke peran Azure RBAC, karena sulit untuk mengatur manajemen akses.
Mendesentralisasi dan mendelegasikan tanggung jawab manajemen akses dan tugas audit dengan menetapkan pemilik grup keamanan.
Aktifkan tinjauan akses berkala di ID Microsoft Entra untuk menghapus pengguna yang tidak lagi memerlukan akses ke kluster Kubernetes.
Buat kebijakan akses bersyar saat menggunakan Azure RBAC untuk manajemen kluster guna menegakkan berbagai kondisi untuk memenuhi kebijakan keamanan dan tata kelola.
Kontrol akses berbasis peran
Kubernetes dengan dukungan Azure Arc mengelola kluster Kubernetes menggunakan Azure RBAC dan mendukung Peran berikut untuk onboarding kluster Kubernetes ke Azure Arc.
| Peran | Deskripsi |
|---|---|
| Peran Pengguna Kluster Kubernetes dengan dukungan Azure Arc | Memungkinkan Anda mengambil file kubeconfig berbasis Cluster Koneksi untuk mengelola kluster dari mana saja. |
| Admin Kubernetes Azure Arc | Memungkinkan Anda mengelola semua sumber daya dalam kluster/namespace layanan, kecuali memperbarui atau menghapus kuota dan namespace. |
| Admin Klaster Azure Arc Kubernetes | Memungkinkan Anda mengelola semua sumber daya dalam kluster. |
| Penampil Kubernetes Azure Arc | Memungkinkan Anda melihat semua sumber daya di kluster/namespace, kecuali rahasia. |
| Penulis Azure Arc Kubernetes | Memungkinkan Anda memperbarui semuanya di kluster/namespace, kecuali peran (kluster) dan pengikatan peran (kluster). |
| Klaster Kubernetes - Azure Arc Onboarding | Definisi peran memungkinkan Anda mengotorisasi pengguna/layanan apa pun untuk membuat sumber daya kluster yang terhubung |
Langkah berikutnya
Untuk informasi selengkapnya tentang perjalanan cloud hibrid dan multicloud Anda, lihat artikel berikut ini:
- Tinjau prasyarat untuk Kubernetes dengan dukungan Azure Arc.
- Tinjau distribusi Kubernetes yang divalidasi untuk Kubernetes dengan dukungan Azure Arc.
- Tinjau Mengelola lingkungan hibrid dan multicloud.
- Tinjau kebijakan akses bersyarah umum untuk diterapkan saat menggunakan Azure RBAC untuk kluster Kubernetes dengan dukungan Azure Arc.
- Organisasi sumber daya dapat membantu Anda merencanakan dan menerapkan tata kelola dan keamanan menggunakan Azure RBAC.
- Pelajari cara Mengintegrasikan ID Microsoft Entra dengan kluster Kubernetes dengan dukungan Azure Arc.
- Pelajari cara Mengakses kluster Anda dengan aman dari mana saja menggunakan Cluster connect.
- Tinjau Zona Pendaratan Azure - Area desain manajemen identitas dan akses Azure.
- Tinjau Cloud Adoption Framework - Metodologi Kontrol Akses.
- Rasakan skenario otomatis Kubernetes dengan dukungan Azure Arc dengan Azure Arc Jumpstart.
- Pelajari selengkapnya tentang Azure Arc melalui jalur pembelajaran Azure Arc.
- Tinjau Tanya Jawab Umum - Dengan dukungan Azure Arc untuk menemukan jawaban atas pertanyaan yang paling umum.