Översikt över Azure Arc-aktiverad Kubernetes-identitet och åtkomst
Du kan autentisera, auktorisera och styra åtkomsten till dina Azure Arc-aktiverade Kubernetes-kluster. Det här avsnittet innehåller en översikt över alternativen för att göra det med dina Arc-aktiverade Kubernetes-kluster.
Den här bilden visar hur dessa olika alternativ kan användas:
Du kan också använda både klusteranslutning och Azure RBAC tillsammans om det passar bäst för dina behov.
Anslutningsalternativ
När du planerar hur användarna ska autentisera och komma åt Arc-aktiverade Kubernetes-kluster är det första beslutet om du vill använda funktionen för klusteranslutning eller inte.
Klusteranslutning
Den Azure Arc-aktiverade kubernetes-klusteranslutningsfunktionen ger anslutning till apiserver klustret. Den här anslutningen kräver inte att någon inkommande port aktiveras i brandväggen. En omvänd proxyagent som körs i klustret kan på ett säkert sätt starta en session med Azure Arc-tjänsten på ett utgående sätt.
Med klusteranslutning kan arc-aktiverade kluster nås antingen i Azure eller från Internet. Den här funktionen kan hjälpa dig att aktivera interaktiva felsöknings- och felsökningsscenarier. Klusteranslutning kan också kräva mindre interaktion för uppdateringar när behörigheter behövs för nya användare. Alla auktoriserings- och autentiseringsalternativ som beskrivs i den här artikeln fungerar med klusteranslutning.
Klusteranslutning krävs om du vill använda anpassade platser eller visa Kubernetes-resurser från Azure Portal.
Mer information finns i Använda klusteranslutning för att ansluta på ett säkert sätt till Azure Arc-aktiverade Kubernetes-kluster.
Microsoft Entra ID och Azure RBAC utan klusteranslutning
Om du inte vill använda klusteranslutning kan du autentisera och auktorisera användare så att de kan komma åt det anslutna klustret med hjälp av Microsoft Entra-ID och rollbaserad åtkomstkontroll i Azure (Azure RBAC). Med Azure RBAC på Azure Arc-aktiverade Kubernetes kan du styra den åtkomst som beviljas användare i din klientorganisation och hantera åtkomst direkt från Azure med hjälp av välbekanta funktioner för Identitet och åtkomst i Azure. Du kan också konfigurera roller i prenumerationens eller resursgruppens omfång så att de kan distribueras till alla anslutna kluster inom det omfånget.
Azure RBAC stöder villkorlig åtkomst, så att du kan aktivera just-in-time-klusteråtkomst eller begränsa åtkomsten till godkända klienter eller enheter.
Azure RBAC stöder också ett direkt kommunikationsläge med hjälp av Microsoft Entra-identiteter för att komma åt anslutna kluster direkt från datacentret, i stället för att kräva att alla anslutningar går via Azure.
Azure RBAC på Arc-aktiverade Kubernetes är för närvarande i offentlig förhandsversion. Mer information finns i Använda Azure RBAC på Azure Arc-aktiverade Kubernetes-kluster.
Autentiseringsalternativ
Autentisering är en process för att verifiera en användares identitet. Det finns två alternativ för autentisering till ett Arc-aktiverat Kubernetes-kluster: klusteranslutning och Azure RBAC.
Microsoft Entra-autentisering
Med funktionen Azure RBAC på Arc-aktiverade Kubernetes kan du använda Microsoft Entra-ID för att tillåta användare i din Azure-klientorganisation att komma åt dina anslutna Kubernetes-kluster.
Du kan också använda Microsoft Entra-autentisering med klusteranslutning. Mer information finns i autentiseringsalternativet Microsoft Entra.
Autentisering med tjänsttoken
Med klusteranslutning kan du välja att autentisera via tjänstkonton.
Mer information finns i Alternativet för autentisering av tjänstkontotoken.
Auktoriseringsalternativ
Auktorisering ger en autentiserad användare behörighet att utföra angivna åtgärder. Med Azure Arc-aktiverade Kubernetes finns det två auktoriseringsalternativ som båda använder rollbaserad åtkomstkontroll (RBAC):
- Rollbaserad åtkomstkontroll i Azure (Azure RBAC) använder Microsoft Entra-ID och Azure Resource Manager för att tillhandahålla detaljerad åtkomsthantering för Azure-resurser. På så sätt kan fördelarna med Azure-rolltilldelningar, till exempel aktivitetsloggar som spårar alla ändringar som gjorts, användas med dina Azure Arc-aktiverade Kubernetes-kluster.
- Med rollbaserad åtkomstkontroll i Kubernetes (Kubernetes RBAC) kan du dynamiskt konfigurera principer via Kubernetes API så att användare, grupper och tjänstkonton bara har åtkomst till specifika klusterresurser.
Kubernetes RBAC fungerar bara på Kubernetes-resurser i klustret, men Azure RBAC fungerar på resurser i din Azure-prenumeration.
Azure RBAC-auktorisering
Rollbaserad åtkomstkontroll i Azure (RBAC) är ett auktoriseringssystem som bygger på Azure Resource Manager och Microsoft Entra-ID som ger detaljerad åtkomsthantering av Azure-resurser. Med Azure RBAC beskriver rolldefinitioner de behörigheter som ska tillämpas. Du tilldelar dessa roller till användare eller grupper via en rolltilldelning för ett visst omfång. Omfånget kan finnas i hela prenumerationen eller begränsas till en resursgrupp eller till en enskild resurs, till exempel ett Kubernetes-kluster.
Om du använder Microsoft Entra-autentisering utan klusteranslutning är Azure RBAC-auktorisering ditt enda alternativ för auktorisering.
Om du använder klusteranslutning med Microsoft Entra-autentisering kan du använda Azure RBAC för anslutning till apiserver klustret. Mer information finns i autentiseringsalternativet Microsoft Entra.
Kubernetes RBAC-auktorisering
Kubernetes RBAC tillhandahåller detaljerad filtrering av användaråtgärder. Med Kubernetes RBAC tilldelar du användare eller grupper behörighet att skapa och ändra resurser eller visa loggar från programarbetsbelastningar som körs. Du kan skapa roller för att definiera behörigheter och sedan tilldela dessa roller till användare med rollbindningar. Behörigheter kan begränsas till ett enda namnområde eller i hela klustret.
Om du använder klusteranslutning med autentiseringsalternativet för tjänstkontotoken måste du använda Kubernetes RBAC för att tillhandahålla anslutning till apiserver klustret. Den här anslutningen kräver inte att någon inkommande port aktiveras i brandväggen. En omvänd proxyagent som körs i klustret kan på ett säkert sätt starta en session med Azure Arc-tjänsten på ett utgående sätt.
Om du använder klusteranslutning med Microsoft Entra-autentisering kan du också använda Kubernetes RBAC i stället för Azure RBAC.
Nästa steg
- Läs mer om Azure Microsoft Entra-ID och rollbaserad åtkomstkontroll i Azure (Azure RBAC).
- Lär dig mer om klusteranslutningsåtkomst till Azure Arc-aktiverade Kubernetes-kluster.
- Läs mer om Azure RBAC på Azure Arc-aktiverade Kubernetes
- Lär dig mer om åtkomst- och identitetsalternativ för AKS-kluster (Azure Kubernetes Service).