Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de stappen beschreven die nodig zijn voor het migreren van de Yelb-toepassing van AWS EKS naar AKS. Houd er rekening mee dat de Yelb-toepassing zelfstandig is en niet afhankelijk is van externe services, zodat deze kan worden gemigreerd van AWS naar Azure zonder codewijzigingen.
Migreren van AWS IAM naar Azure RBAC
Als de webtoepassing in AWS gebruikmaakt van een IAM-rol (AWS Identity and Access Management) voor toegang tot beheerde services, moet u de rol toewijzen aan de EKS-pods om toegang te verlenen tot AWS-resources. In Azure kunt u een rol toewijzen aan gebruikers, groepen, service-principals of beheerde identiteiten op een specifiek bereik: beheergroep, abonnement, resourcegroep of resource. Hiermee kunt u specifieke machtigingen verlenen aan de workloadidentiteit op een met Microsoft Entra beveiligde resource.
U kunt Azure RBAC configureren met behulp van de volgende stappen:
- Maak een door de gebruiker toegewezen beheerde identiteit en een Kubernetes-serviceaccount voor de workload.
- Wijs de benodigde rollen toe aan de beheerde identiteit om de door AKS gehoste workload toegang te geven tot de vereiste met Microsoft Entra beveiligde resources.
- Schakel de OIDC-verlener (OpenID Connect) en de Workload-id van Microsoft Entra in op uw AKS-cluster. Zie Workloadidentiteit implementeren en configureren in een AKS-cluster (Azure Kubernetes Service) voor gedetailleerde instructies.
- Maak een tokenfederatie voor de beheerde identiteit met het Kubernetes-serviceaccount dat wordt gebruikt door de workload op AKS.
Microsoft Entra-workload-id maakt gebruik van volumeprojectie van serviceaccounttoken, met name een serviceaccount, om pods in staat te stellen een Kubernetes-identiteit te gebruiken. Een Kubernetes-token wordt uitgegeven en OIDC-federatie stelt Kubernetes-toepassingen in staat om veilig toegang te krijgen tot Azure-resources met Microsoft Entra-id op basis van geannoteerde serviceaccounts.
De Workload-id van Microsoft Entra werkt goed met de Azure Identity-clientbibliotheken of de Microsoft Authentication Library, samen met toepassingsregistratie. Met deze bibliotheken kunt u uw workload naadloos verifiëren en toegang krijgen tot Azure-cloudresources. Zie Microsoft Entra Workload ID gebruiken met Azure Kubernetes Service (AKS) voor meer informatie.
Volgende stap
Bijdragers
Microsoft onderhoudt dit artikel. De volgende inzenders hebben het oorspronkelijk geschreven:
Hoofdauteur:
- Paolo Salvatori | Principal Customer Engineer
Andere Inzenders:
- Ken Kilty | Hoofd TPM
- Russell de Pina | Principal TPM
- Erin Schaffer | Inhoudsontwikkelaar 2