Gerenciamento de identidade e acesso para Kubernetes habilitado para Azure Arc
O Kubernetes habilitado para o Azure Arc dá suporte a ambientes locais e outros ambientes de nuvem integrados a diferentes sistemas de gerenciamento de identidade e acesso. Além do RBAC (controle de acesso baseado em função) de cluster do Kubernetes existente, o Kubernetes habilitado para Azure Arc dá suporte ao RBAC do Azure para unificar o gerenciamento de acesso entre clusters Kubernetes e minimizar a sobrecarga operacional.
A combinação de modelos RBAC que sua organização deve usar depende de quais necessidades de uso sua organização tem. Alguns exemplos incluem:
- Integração de um cluster Kubernetes ao Azure Arc
- Gerenciando um cluster Kubernetes habilitado para Arc
- Instalando extensões de cluster do Azure Arc
- Executando aplicativos em um cluster Kubernetes habilitado para Arc
- Usando o RBAC do Azure para acessar recursos do Azure
Compreender as necessidades da sua organização e os recursos do Kubernetes habilitado para Azure Arc permite que você escolha os melhores modelos RBAC para seus requisitos específicos de infraestrutura, segurança e governança à medida que cria um cluster Kubernetes habilitado para Arc.
Este artigo descreve a arquitetura de gerenciamento de identidade e acesso (IAM) do Kubernetes habilitado para o Azure Arc, considerações de design, recomendações e controles de acesso baseados em função para vários cenários.
Arquitetura
Para projetar a arquitetura certa para sua organização, você precisa entender os modos de conectividade do Kubernetes habilitados para Arc. O RBAC do Azure tem suporte apenas no modo totalmente conectado, não no modo semiconectado.
Azure RBAC no Kubernetes compatível com o Azure Arc
O diagrama a seguir mostra vários componentes do Kubernetes habilitados para Azure Arc e como eles interagem quando o RBAC do Azure é usado para gerenciar um cluster do Kubernetes.
Acesse com segurança o cluster Kubernetes habilitado para Azure Arc de qualquer lugar
O diagrama a seguir exibe o acesso ao cluster Kubernetes habilitado para Azure Arc de qualquer lugar e mostra como os componentes interagem entre si para gerenciar um cluster usando o RBAC do Azure.
Considerações de design
Analise a área de design de gerenciamento de identidade e acesso das zonas de aterrissagem do Azure para avaliar o efeito do Kubernetes habilitado para Azure Arc em seu modelo geral de identidade e acesso.
Para integração de cluster do Kubernetes:
- Decida entre usuário do Microsoft Entra (para integração manual de cluster único) versus entidade de serviço (para integração com script e sem cabeça de vários clusters) para integração de clusters Kubernetes ao Azure Arc individualmente ou em escala. Para obter mais detalhes de implementação, consulte a área de projeto crítico das disciplinas de automação.
- A identidade da entidade de integração precisa ter ClusterRoleBinding de administrador de cluster no cluster. Decida entre usar um usuário do seu provedor de identidade local ou de outro provedor de identidade na nuvem ou usar uma conta de serviço do Kubernetes com função de administrador de cluster.
Para o gerenciamento de cluster do Kubernetes:
- Como o Kubernetes habilitado para Azure Arc traz a autenticação do Microsoft Entra e o RBAC do Azure para ambientes Kubernetes locais ou em outros ambientes de nuvem, você deve decidir entre o gerenciamento de acesso do Kubernetes existente e o Azure RBAC, dependendo dos requisitos de segurança e governança da sua organização.
- Determine se o Kubernetes Cluster Connect habilitado para Azure Arc oferece a flexibilidade de gerenciar o cluster Kubernetes sem que suas portas de firewall de entrada estejam abertas para suas redes locais ou outras redes em nuvem.
- Determine se o RBAC do Azure é a escolha certa quando você tem muitos clusters Kubernetes em execução no local e em outros ambientes de nuvem e precisa simplificar a administração de cluster em todos os clusters Kubernetes.
Recomendações de design
Para integração de cluster do Kubernetes:
- Use os grupos de segurança do Microsoft Entra para conceder funções RBAC de cluster do Kubernetes habilitadas para Azure Arc para integrar e gerenciar clusters Kubernetes habilitados para Azure Arc.
Para o gerenciamento de cluster do Kubernetes:
Se suas identidades locais estiverem sincronizadas com a ID do Microsoft Entra, use as mesmas identidades ao usar o RBAC do Azure para gerenciamento de cluster.
Simplifique seu gerenciamento de acesso criando grupos de segurança e mapeie-os para as funções do RBAC do Azure suportadas pelo Kubernetes habilitado para Azure Arc. Atribua permissões a esses grupos de segurança no nível do grupo de recursos ou da assinatura, dependendo da sua organização de recursos e dos requisitos de governança. Para obter mais informações, consulte a área de design crítico da Organização de Recursos.
Nota
O Kubernetes habilitado para Arco do Azure não oferece suporte a usuários com mais de 200 associações de grupo de segurança e, em vez disso, fornecerá um erro de autenticação.
Evite a atribuição direta de usuários a funções RBAC do Azure, pois é difícil controlar o gerenciamento de acesso.
Descentralize e delegue a responsabilidade de gerenciamento de acesso e as atribuições de auditoria atribuindo proprietários de grupos de segurança.
Habilite revisões periódicas de acesso no Microsoft Entra ID para remover usuários que não precisam mais acessar os clusters do Kubernetes.
Crie políticas de acesso condicional ao usar o RBAC do Azure para gerenciamento de cluster para impor várias condições para atender às políticas de segurança e governança.
Controles de acesso baseados em função
O Kubernetes habilitado para Arco do Azure gerencia clusters Kubernetes usando o RBAC do Azure e dá suporte às seguintes Funções para integração de clusters Kubernetes ao Azure Arc.
| Função | Descrição |
|---|---|
| Função de Usuário do Cluster Kubernetes habilitado para Azure Arc | Permite que você busque o arquivo kubeconfig baseado no Cluster Connect para gerenciar clusters de qualquer lugar. |
| Azure Arc Kubernetes Admin | Permite gerenciar todos os recursos em cluster/namespace, exceto atualizar ou excluir cotas de recursos e namespaces. |
| Azure Arc Kubernetes Cluster Admin | Permite gerenciar todos os recursos no cluster. |
| Azure Arc Kubernetes Viewer | Permite visualizar todos os recursos em cluster/namespace, exceto segredos. |
| Azure Arc Kubernetes Writer | Permite atualizar tudo no cluster/namespace, exceto funções (cluster) e ligações de função (cluster). |
| Kubernetes Cluster - Azure Arc Onboarding | A definição de função permite autorizar qualquer usuário/serviço a criar recursos de clusters conectados |
Próximos passos
Para obter mais informações sobre sua jornada de nuvem híbrida e multicloud, consulte os seguintes artigos:
- Analise os pré-requisitos para o Kubernetes habilitado para Azure Arc.
- Analise as distribuições Kubernetes validadas para o Kubernetes habilitado para Azure Arc.
- Revise Gerenciar ambientes híbridos e multicloud.
- Analise as políticas comuns de acesso condicional a serem aplicadas ao usar o RBAC do Azure para cluster Kubernetes habilitado para Azure Arc.
- A organização de recursos pode ajudá-lo a planejar e aplicar governança e segurança usando o Azure RBAC.
- Saiba como integrar o Microsoft Entra ID com clusters Kubernetes habilitados para Azure Arc.
- Saiba como acessar seu cluster com segurança de qualquer lugar usando o Cluster connect.
- Revise Azure Landing Zones - Área de design de gerenciamento de identidade e acesso do Azure.
- Analise a metodologia Cloud Adoption Framework - Access Control .
- Experimente cenários automatizados do Kubernetes habilitados para Azure Arc com o Azure Arc Jumpstart.
- Saiba mais sobre o Azure Arc através do caminho de aprendizagem do Azure Arc.
- Revise as Perguntas Frequentes - Azure Arc-enabled para encontrar respostas para as perguntas mais comuns.