Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve as etapas necessárias para migrar o aplicativo Yelb do AWS EKS para o AKS. Observe que o aplicativo Yelb é autônomo e não depende de serviços externos, portanto, pode ser migrado do AWS para o Azure sem alterações no código.
Migrar do AWS IAM para o RBAC do Azure
Se o aplicativo Web no AWS usa uma função Gerenciamento de Identidade e Acesso (IAM) para acessar serviços gerenciados, você precisará atribuir a função aos pods do EKS para conceder acesso aos recursos do AWS. No Azure, você pode atribuir uma função a usuários, grupos, entidades de segurança ou identidades gerenciadas em um escopo específico: grupo de gerenciamento, assinatura, grupo de recursos ou recurso. Isso permite conceder permissões específicas à identidade da carga de trabalho em um recurso protegido do Microsoft Entra.
Você pode configurar o RBAC do Azure usando as seguintes etapas:
- Crie uma identidade gerenciada atribuída pelo usuário e uma conta de serviço do Kubernetes para a carga de trabalho.
- Atribua as funções necessárias à identidade gerenciada para permitir que a carga de trabalho hospedada no AKS acesse os recursos protegidos do Microsoft Entra.
- Habilite o emissor OpenID Connect (OIDC) e a ID de carga de trabalho do Microsoft Entra no cluster do AKS. Para obter instruções detalhadas, confira Implantar e configurar a identidade da carga de trabalho em um cluster do Serviço de Kubernetes do Azure (AKS).
- Crie uma federação de tokens para a identidade gerenciada com a conta de serviço do Kubernetes usada pela carga de trabalho no AKS.
ID de carga de trabalho do Microsoft Entra usa Projeção de Volume de Token de Conta de Serviço, especificamente uma conta de serviço, para permitir que os pods usem uma identidade do Kubernetes. Um token do Kubernetes é emitido e a federação OIDC permite que aplicativos do Kubernetes acessem com segurança os recursos do Azure com base em IDs do Microsoft Entra em contas de serviço anotadas.
A ID de carga de trabalho do Microsoft Entra funciona bem com as bibliotecas de clientes de identidade do Azure ou a Biblioteca de Autenticação da Microsoft, juntamente com o registro de aplicativo. Essas bibliotecas permitem que sua carga de trabalho seja autenticada de forma transparente e acesse recursos da nuvem do Azure. Para obter mais informações, confira Usar a ID de carga de trabalho do Microsoft Entra com o Serviço de Kubernetes do Azure (AKS).
Próxima etapa
Contribuidores
A Microsoft mantém este artigo. Os seguintes colaboradores escreveram o artigo original:
Autor principal:
- Paolo Salvatori | Engenheiro de cliente principal
Outros colaboradores:
- Ken Kilty | Líder TPM
- Russell de Pina | Líder TPM
- Erin Schaffer | Desenvolvedor de Conteúdo 2