Azure Arc 지원 Kubernetes에 대한 ID 및 액세스 관리

  • 아티클

Azure Arc 지원 Kubernetes는 다른 ID 및 액세스 관리 시스템과 통합된 온-프레미스 및 기타 클라우드 환경을 지원합니다. Azure Arc 지원 Kubernetes는 기존 Kubernetes 클러스터 RBAC(역할 기반 액세스 제어) 외에도 Azure RBAC를 지원하여 Kubernetes 클러스터 간 액세스 관리를 통합하고 운영 오버헤드를 최소화합니다.

조직에서 사용해야 하는 RBAC 모델의 조합은 조직에 필요한 사용량에 따라 달라집니다. 몇 가지 예는 다음과 같습니다.

  • Kubernetes 클러스터를 Azure Arc에 온보딩
  • Arc 지원 Kubernetes 클러스터 관리
  • Azure Arc 클러스터 확장 설치
  • Arc 지원 Kubernetes 클러스터에서 애플리케이션 실행
  • Azure RBAC를 사용하여 Azure 리소스 액세스

조직의 요구 사항과 Azure Arc 지원 Kubernetes의 기능을 모두 이해하면 Arc 지원 Kubernetes 클러스터를 빌드할 때 특정 인프라, 보안, 거버넌스 요구 사항에 가장 적합한 RBAC 모델을 선택할 수 있습니다.

이 문서에서는 다양한 시나리오에 대한 Azure Arc 지원 Kubernetes ID 및 액세스 관리(IAM) 아키텍처, 디자인 고려 사항, 권장 사항, 역할 기반 액세스 제어에 대해 설명합니다.

아키텍처

조직에 적합한 아키텍처를 설계하려면 Arc 지원 Kubernetes 연결 모드를 이해해야 합니다. Azure RBAC는 반연결 모드가 아닌 완전히 연결된 모드에서만 지원됩니다.

Azure Arc 지원 Kubernetes의 Azure RBAC

다음 다이어그램에서는 다양한 Azure Arc 지원 Kubernetes 구성 요소와 Azure RBAC를 사용하여 Kubernetes 클러스터를 관리할 때 상호 작용하는 방법을 보여 줍니다.

A diagram showing Azure R B A C on Azure Arc-enabled Kubernetes.

어디서나 Azure Arc 지원 Kubernetes 클러스터에 안전하게 액세스

다음 다이어그램은 어디서나 Azure Arc 지원 Kubernetes 클러스터 액세스를 표시하고 구성 요소가 서로 상호 작용하면서 Azure RBAC를 사용하여 클러스터를 관리하는 방법을 보여 줍니다.

Diagram that shows how to access Arc-enabled Kubernetes anywhere.

디자인 고려 사항

Azure 랜딩 존의 ID 및 액세스 관리 디자인 영역을 검토하여 Azure Arc 지원 Kubernetes가 전체 ID 및 액세스 모델에 미치는 영향을 평가합니다.

Kubernetes 클러스터 온보딩의 경우:

  • Kubernetes 클러스터를 개별적으로 또는 대규모로 Azure Arc에 온보딩하기 위해 Microsoft Entra 사용자(단일 클러스터의 수동 온보딩용)와 서비스 주체(여러 클러스터의 스크립팅 및 헤드리스 온보딩용)를 결정합니다. 자세한 구현 세부 정보는 자동화 분야 중요 디자인 영역을 참조하세요.
  • 온보딩 엔터티의 ID에는 클러스터 관리자 ClusterRoleBinding이 있어야 합니다. 온-프레미스 또는 다른 클라우드 ID 공급자의 사용자 사용 또는 클러스터 관리자 역할이 있는 Kubernetes 서비스 계정 사용 중에서 결정합니다.

Kubernetes 클러스터 관리의 경우:

  • Azure Arc 지원 Kubernetes는 온-프레미스 또는 다른 클라우드 Kubernetes 환경에 Microsoft Entra 인증 및 Azure RBAC를 제공하므로 조직의 보안 및 거버넌스 요구 사항에 따라 기존 Kubernetes 액세스 관리와 Azure RBAC 중에서 결정해야 합니다.
  • Azure Arc 지원 Kubernetes 클러스터 연결이 온-프레미스 또는 다른 클라우드 네트워크에 인바운드 방화벽 포트를 열지 않고 Kubernetes 클러스터를 유연하게 관리할 수 있는지 확인합니다.
  • 온-프레미스 및 기타 클라우드 환경에서 실행되는 Kubernetes 클러스터가 많고 모든 Kubernetes 클러스터에서 클러스터 관리를 간소화해야 하는 경우 Azure RBAC가 올바른 선택인지 확인합니다.

디자인 권장 사항

Kubernetes 클러스터 온보딩의 경우:

  • Microsoft Entra 보안 그룹을 사용하여 Azure Arc 지원 Kubernetes 클러스터를 온보딩하고 관리하기 위한 Azure Arc 지원 Kubernetes 클러스터 RBAC 역할을 부여합니다.

Kubernetes 클러스터 관리의 경우:

  • 온-프레미스 ID가 Microsoft Entra ID와 동기화되는 경우 클러스터 관리에 Azure RBAC를 사용할 때 동일한 ID를 사용합니다.

  • 보안 그룹을 만들어 액세스 관리를 간소화하고 Azure Arc 지원 Kubernetes에서 지원하는 Azure RBAC 역할에 매핑합니다. 리소스 조직 및 거버넌스 요구 사항에 따라 리소스 그룹 또는 구독 수준에서 이러한 보안 그룹에 권한을 할당합니다. 자세한 내용은 리소스 조직 중요 디자인 영역을 참조하세요.

    참고 항목

    Azure Arc 지원 Kubernetes는 200개 이상의 보안 그룹 멤버 자격을 가진 사용자를 지원하지 않으며 대신 인증 오류가 표시됩니다.

  • 액세스 관리 제어가 어렵기 때문에 Azure RBAC 역할에 직접 사용자를 할당하지 마세요.

  • 보안 그룹 소유자를 할당하여 액세스 관리 책임 및 감사 할당을 분산하고 위임합니다.

  • Microsoft Entra ID에서 정기적 액세스 검토를 사용하도록 설정하여 Kubernetes 클러스터에 더 이상 액세스할 필요가 없는 사용자를 제거합니다.

  • 클러스터 관리에 Azure RBAC를 사용하여 보안 및 거버넌스 정책을 충족하는 다양한 조건을 적용할 경우 조건부 액세스 정책을 만듭니다.

역할 기반 액세스 제어

Azure Arc 지원 Kubernetes는 Azure RBAC를 사용하여 Kubernetes 클러스터를 관리하고 Kubernetes 클러스터를 Azure Arc에 온보딩하기 위해 다음 역할을 지원합니다.

역할 설명
Azure Arc 지원 Kubernetes 클러스터 사용자 역할 클러스터 연결 기반 kubeconfig 파일을 가져와 어디서나 클러스터를 관리할 수 있습니다.
Azure Arc Kubernetes 관리자 리소스 할당량 및 네임스페이스를 업데이트하거나 삭제하는 것을 제외하고 클러스터/네임스페이스에서 모든 리소스를 관리할 수 있습니다.
Azure Arc Kubernetes 클러스터 관리 클러스터의 모든 리소스를 관리할 수 있습니다.
Azure Arc Kubernetes 뷰어 비밀을 제외한 클러스터/네임스페이스의 모든 리소스를 볼 수 있습니다.
Azure Arc Kubernetes 작성자 (클러스터) 역할 및 (클러스터) 역할 바인딩을 제외하고 클러스터/네임스페이스의 모든 항목을 업데이트할 수 있습니다.
Kubernetes 클러스터 - Azure Arc 온보딩 역할 정의를 사용하면 연결된 클러스터 리소스를 만들 수 있는 모든 사용자/서비스에 권한을 부여할 수 있습니다.

다음 단계

하이브리드 및 다중 클라우드 경험에 대한 자세한 내용은 다음 문서를 참조하세요.