Accesso della funzionalità di connessione cluster ai cluster Kubernetes abilitati per Azure Arc

La funzionalità di connessione cluster di Kubernetes abilitato per Azure Arc offre connettività all'oggetto apiserver del cluster senza la necessità di abilitare porte in ingresso a livello di firewall. Un agente proxy inverso in esecuzione nel cluster può avviare in modo sicuro una sessione con il servizio Azure Arc in uscita.

La funzionalità di connessione cluster consente agli sviluppatori di accedere ai cluster da qualsiasi posizione per lo sviluppo interattivo e il debug. Consente inoltre agli utenti e agli amministratori dei cluster di accedere o gestire i cluster da qualsiasi posizione. È anche possibile usare agenti/strumenti di esecuzione ospitati di Azure Pipelines, GitHub Actions o qualsiasi altro servizio CI/CD ospitato per distribuire applicazioni in cluster locali, senza la necessità di agenti self-hosted.

Architettura

Sul lato cluster, un agente proxy inverso denominato clusterconnect-agent distribuito come parte del grafico Helm dell'agente effettua chiamate in uscita al servizio Azure Arc per stabilire la sessione.

Quando l'utente chiama az connectedk8s proxy:

1. Il file binario proxy di Azure Arc viene scaricato e avviato come processo nel computer client.
2. Il proxy di Azure Arc recupera un file kubeconfig associato al cluster Kubernetes abilitato per Azure Arc in cui viene richiamato az connectedk8s proxy.
   • Il proxy di Azure Arc usa il token di accesso di Azure del chiamante e il nome ID di Azure Resource Manager.
3. Il file kubeconfig, salvato nel computer dal proxy di Azure Arc, indirizza l'URL del server a un endpoint nel processo proxy di Azure Arc.

Quando un utente invia una richiesta usando il file kubeconfig:

1. Il proxy di Azure Arc esegue il mapping dell'endpoint che riceve la richiesta al servizio Azure Arc.
2. Il servizio Azure Arc inoltra quindi la richiesta a clusterconnect-agent in esecuzione nel cluster.
3. clusterconnect-agent passa la richiesta al componente kube-aad-proxy, che esegue l'autenticazione di Microsoft Entra sull'entità chiamante.
4. Dopo l'autenticazione di Microsoft Entra, kube-aad-proxy usa la rappresentazione dell'utente Kubernetes per inoltrare la richiesta a apiserver del cluster.

Passaggi successivi

• Usare la guida introduttiva per connettere un cluster Kubernetes ad Azure Arc.
• Accedere al cluster in modo sicuro da qualsiasi posizione usando la funzionalità di connessione cluster.