Подключение кластера к кластерам Kubernetes с поддержкой Azure Arc

Функция подключения кластера Kubernetes с поддержкой Azure Arc обеспечивает подключение к apiserver кластеру, не требуя включения в брандмауэра любого входящего порта. Запущенный в кластере агент обратного прокси-сервера может безопасно начать исходящий сеанс в службе Azure Arc.

Функция "Подключение кластера" позволяет разработчикам получать доступ к своим кластерам из любой точки для интерактивной разработки и отладки. Она также позволяет пользователям и администраторам кластера получать доступ к кластерам и управлять ими из любой точки. Вы даже можете использовать размещенные агенты и средства выполнения Azure Pipelines, GitHub Actions или любую другую размещенную службу CI/CD для развертывания приложений в локальных кластерах, не требуя локальных агентов.

Архитектура

На стороне кластера вызываемый обратный прокси-агент, развернутый в рамках диаграммы Helm агента clusterconnect-agent, выполняет исходящие вызовы в службу Azure Arc для установки сеанса.

Когда пользователь вызывает az connectedk8s proxy, происходит следующее:

1. Двоичный файл прокси-сервера Azure Arc загружается и копируется как процесс на клиентском компьютере.
2. Прокси-сервер Azure Arc получает kubeconfig файл, связанный с кластером Kubernetes с поддержкой Azure Arc, в котором az connectedk8s proxy вызывается.
   • Прокси-сервер Azure Arc использует маркер доступа к Azure вызывающего объекта и имя идентификатора Azure Resource Manager.
3. Файл kubeconfig , сохраненный на компьютере прокси-сервером Azure Arc, указывает URL-адрес сервера на конечную точку в процессе прокси-сервера Azure Arc.

Когда пользователь отправляет запрос с помощью этого файла kubeconfig, происходит следующее:

1. Прокси-сервер Azure Arc сопоставляет конечную точку, получая запрос к службе Azure Arc.
2. Затем служба Azure Arc перенаправит запрос clusterconnect-agent на выполнение в кластере.
3. Передает clusterconnect-agent запрос kube-aad-proxy компоненту, который выполняет проверку подлинности Microsoft Entra в вызывающей сущности.
4. После проверки подлинности kube-aad-proxy Microsoft Entra использует олицетворение пользователя Kubernetes для пересылки запроса в кластерapiserver.

Следующие шаги

• Воспользуйтесь нашим кратким руководством по подключению кластера Kubernetes к Azure Arc.
• Безопасный доступ к кластеру из любого места с помощью подключения к кластеру .