Condividi tramite

Panoramica di identità e accessi di Kubernetes abilitati per Azure Arc

  • Articolo

È possibile autenticare, autorizzare e controllare l'accesso ai cluster Kubernetes abilitati per Azure Arc. Questo argomento offre una panoramica delle opzioni per eseguire questa operazione con i cluster Kubernetes abilitati per ARC.

Questa immagine mostra i modi in cui è possibile usare queste diverse opzioni:

Diagramma che mostra le diverse opzioni per l'autenticazione, l'autorizzazione e il controllo dell'accesso ai cluster Kubernetes abilitati per ARC.

È anche possibile usare sia la connessione del cluster che il controllo degli accessi in base al ruolo di Azure, se più appropriato per le proprie esigenze.

Opzioni di connettività

Quando si pianifica in che modo gli utenti eseguiranno l'autenticazione e l'accesso ai cluster Kubernetes abilitati per ARC, la prima decisione è se si vuole usare o meno la funzionalità di connessione del cluster.

Connessione del cluster

La funzionalità di connessione del cluster Kubernetes abilitata per Azure ARC offre connettività al apiserver cluster. Questa connettività non richiede l'abilitazione di alcuna porta in ingresso nel firewall. Un agente proxy inverso in esecuzione nel cluster può avviare in modo sicuro una sessione con il servizio Azure Arc in uscita.

Con la connessione al cluster, è possibile accedere ai cluster con abilitazione di ARC all'interno di Azure o da Internet. Questa funzionalità consente di abilitare scenari interattivi di debug e risoluzione dei problemi. La connessione del cluster può anche richiedere meno interazione per gli aggiornamenti quando sono necessarie autorizzazioni per i nuovi utenti. Tutte le opzioni di autorizzazione e autenticazione descritte in questo articolo funzionano con la connessione al cluster.

La connessione al cluster è necessaria se si vogliono usare percorsi personalizzati o visualizzare le risorse Kubernetes dal portale di Azure.

Per altre informazioni, vedere Usare la connessione al cluster per connettersi in modo sicuro ai cluster Kubernetes abilitati per Azure Arc.

Microsoft Entra ID e Controllo degli accessi in base al ruolo di Azure senza connessione del cluster

Se non si vuole usare la connessione al cluster, è possibile autenticare e autorizzare gli utenti in modo che possano accedere al cluster connesso usando Microsoft Entra ID e il controllo degli accessi in base al ruolo di Azure. L'uso del controllo degli accessi in base al ruolo di Azure nei Kubernetes abilitati per Azure Arc consente di controllare l'accesso concesso agli utenti nel tenant, gestendo l'accesso direttamente da Azure usando funzionalità familiari di identità e accesso di Azure. È anche possibile configurare i ruoli nell'ambito della sottoscrizione o del gruppo di risorse, consentendo l'implementazione in tutti i cluster connessi all'interno di tale ambito.

Il controllo degli accessi in base al ruolo di Azure supporta l'accesso condizionale, consentendo di abilitare l'accesso just-in-time al cluster o limitare l'accesso a client o dispositivi approvati.

Il controllo degli accessi in base al ruolo di Azure supporta anche una modalità di comunicazionediretta, usando le identità di Microsoft Entra per accedere ai cluster connessi direttamente dall'interno del data center, anziché richiedere che tutte le connessioni passino attraverso Azure.

Il controllo degli accessi in base al ruolo di Azure nei Kubernetes abilitati per ARC è attualmente disponibile in anteprima pubblica. Per altre informazioni, vedere Usare il controllo degli accessi in base al ruolo di Azure nei cluster Kubernetes abilitati per Azure Arc.

Opzioni di autenticazione

L'autenticazione consiste nel verificare l'identità di un utente. Sono disponibili due opzioni per l'autenticazione in un cluster Kubernetes abilitato per ARC: connessione del cluster e Controllo degli accessi in base al ruolo di Azure.

Autenticazione Microsoft Entra

La funzionalità Controllo degli accessi in base al ruolo di Azure nei Kubernetes abilitati per ARC consente di usare Microsoft Entra ID per consentire agli utenti nel tenant di Azure di accedere ai cluster Kubernetes connessi.

È anche possibile usare l'autenticazione di Microsoft Entra con la connessione del cluster. Per altre informazioni, vedere Opzione di autenticazione di Microsoft Entra.

Autenticazione del token di servizio

Con la connessione del cluster, è possibile scegliere di eseguire l'autenticazione tramite account del servizio.

Per altre informazioni, vedere Opzione di autenticazione del token dell'account del servizio.

Opzioni di autorizzazione

L'autorizzazione concede a un utente autenticato l'autorizzazione per eseguire azioni specificate. Con i Kubernetes abilitati per Azure Arc, sono disponibili due opzioni di autorizzazione, che usano entrambe il controllo degli accessi in base al ruolo:

Anche se il controllo degli accessi in base al ruolo di Kubernetes funziona solo nelle risorse Kubernetes all'interno del cluster, il controllo degli accessi in base al ruolo di Azure funziona sulle risorse nella sottoscrizione di Azure.

Autorizzazione del controllo degli accessi in base al ruolo di Azure

Il controllo degli accessi in base al ruolo di Azure (RBAC) è un sistema di autorizzazione basato su Azure Resource Manager e Microsoft Entra ID che garantisce una gestione con granularità fine degli accessi alle risorse di Azure. Con il controllo degli accessi in base al ruolo di Azure, le definizioni dei ruoli delineano le autorizzazioni da applicare. Questi ruoli vengono assegnati a utenti o gruppi tramite un'assegnazione di ruolo per un determinato ambito. L'ambito può trovarsi nell'intera sottoscrizione o essere limitato a un gruppo di risorse o a una singola risorsa, ad esempio un cluster Kubernetes.

Se si usa l'autenticazione di Microsoft Entra senza connessione al cluster, l'autorizzazione del controllo degli accessi in base al ruolo di Azure è l'unica opzione per l'autorizzazione.

Se si usa la connessione del cluster con l'autenticazione Microsoft Entra, è possibile usare il controllo degli accessi in base al ruolo di Azure per la connettività a apiserver del cluster. Per altre informazioni, vedere Opzione di autenticazione di Microsoft Entra.

Autorizzazione del controllo degli accessi in base al ruolo di Kubernetes

Il controllo degli accessi in base al ruolo di Kubernetes offre un filtro granulare delle azioni utente. Con RBAC di Kubernetes, puoi assegnare agli utenti o ai gruppi l'autorizzazione per creare e modificare le risorse o visualizzare i log dai carichi di lavoro delle applicazioni in esecuzione. È possibile creare ruoli per definire le autorizzazioni e poi assegnare questi ruoli agli utenti con le associazioni dei ruoli. È possibile definire l'ambito delle autorizzazioni in un singolo spazio dei nomi o nell'intero cluster.

Se si usa la connessione del cluster con l'opzione di autenticazione del token dell'account del servizio, è necessario usare il controllo degli accessi in base al ruolo di Kubernetes per fornire la connettività all'elemento apiserver del cluster. Questa connettività non richiede l'abilitazione di alcuna porta in ingresso nel firewall. Un agente proxy inverso in esecuzione nel cluster può avviare in modo sicuro una sessione con il servizio Azure Arc in uscita.

Se si usa la connessione del cluster con l'autenticazione Microsoft Entra, è anche possibile usare il controllo degli accessi in base al ruolo di Kubernetes anziché il controllo degli accessi in base al ruolo di Azure.

Passaggi successivi