Azure Arc tarafından etkinleştirilen AKS'deki güvenlik kavramları
Şunlar için geçerlidir: Azure Stack HCI 22H2 üzerinde AKS, Windows Server'da AKS
Azure Arc tarafından etkinleştirilen AKS'de güvenlik, altyapının ve Kubernetes kümesinde çalışan uygulamaların güvenliğini sağlamayı içerir. Arc tarafından etkinleştirilen AKS, Azure Kubernetes Service (AKS) için karma dağıtım seçeneklerini destekler. Bu makalede, Kubernetes kümelerindeki altyapı ve uygulamaların güvenliğini sağlamak için kullanılan güvenlik sağlamlaştırma ölçüleri ve yerleşik güvenlik özellikleri açıklanmaktadır.
Altyapı güvenliği
Arc tarafından etkinleştirilen AKS, altyapısının güvenliğini sağlamak için çeşitli güvenlik önlemleri uygular. Aşağıdaki diyagramda bu ölçüler vurgulanır:
Aşağıdaki tabloda, Azure Stack HCI üzerinde AKS'nin önceki diyagramda gösterilen güvenlik sağlamlaştırma özellikleri açıklanmaktadır. AKS dağıtımının altyapısı hakkında kavramsal arka plan bilgileri için bkz. Kümeler ve iş yükleri.
| Güvenlik yönü | Açıklama |
|---|---|
| 1 | AKS konağı tüm iş yükü (hedef) kümelerine erişebildiğinden, bu küme tek bir risk noktası olabilir. Ancak, yönetim kümesinin amacı iş yükü kümelerini sağlama ve toplu küme ölçümlerini toplama ile sınırlı olduğundan AKS konağına erişim dikkatle denetlenir. |
| 2 | Dağıtım maliyetini ve karmaşıklığını azaltmak için iş yükü kümeleri temel alınan Windows Server'ı paylaşır. Ancak, güvenlik gereksinimlerine bağlı olarak, yöneticiler ayrılmış bir Windows Server'a iş yükü kümesi dağıtmayı seçebilir. İş yükü kümeleri temel alınan Windows Server'ı paylaştığında, her küme bir sanal makine olarak dağıtılır ve bu da iş yükü kümeleri arasında güçlü yalıtım garantileri sağlar. |
| 3 | Müşteri iş yükleri kapsayıcı olarak dağıtılır ve aynı sanal makineyi paylaşır. Kapsayıcılar, sanal makineler tarafından sunulan güçlü yalıtım garantilerine kıyasla daha zayıf bir yalıtım biçimi olan işlemden yalıtılır. |
| 4 | Kapsayıcılar bir katman ağı üzerinden birbirleriyle iletişim kurar. Yöneticiler, kapsayıcılar arasında ağ yalıtımı kuralları tanımlamak için Calico ilkelerini yapılandırabilir. Calico hem Windows hem de Linux kapsayıcılarını destekler ve olduğu gibi desteklenen bir açık kaynak üründür. |
| 5 | API sunucusu ile kapsayıcı konağı arasındaki iletişim de dahil olmak üzere Azure Stack HCI üzerinde AKS'nin yerleşik Kubernetes bileşenleri arasındaki iletişim sertifikalar aracılığıyla şifrelenir. AKS, yerleşik sertifikalar için kullanıma hazır sertifika sağlama, yenileme ve iptal etme olanağı sunar. |
| 6 | Windows istemci makinelerinden API sunucusuyla iletişim, kullanıcılar için Microsoft Entra kimlik bilgileri kullanılarak güvenli hale getirilir. |
| 7 | Her sürüm için Microsoft, Azure Stack HCI'de AKS VM'leri için VHD'ler sağlar ve gerektiğinde uygun güvenlik düzeltme eklerini uygular. |
Uygulama güvenliği
Aşağıdaki tabloda Arc tarafından etkinleştirilen AKS'de kullanılabilen farklı uygulama güvenlik seçenekleri açıklanmaktadır:
Not
Seçtiğiniz açık kaynak ekosisteminde bulunan açık kaynak uygulama sağlamlaştırma seçeneklerini kullanma seçeneğiniz vardır.
| Seçenek | Açıklama |
|---|---|
| Güvenlik oluşturma | Derlemelerin güvenliğini sağlamanın amacı, görüntüler oluşturulduğunda uygulama kodunda veya kapsayıcı görüntülerinde güvenlik açıklarının ortaya çıkmasını önlemektir. Azure Arc özellikli Kubernetes'in Azure GitOps'u ile tümleştirme, analiz ve gözlem konusunda yardımcı olur ve geliştiricilere güvenlik sorunlarını çözme fırsatı verir. Daha fazla bilgi için bkz. Azure Arc özellikli Kubernetes kümesinde GitOps kullanarak yapılandırmaları dağıtma. |
| Kapsayıcı kayıt defteri güvenliği | Kapsayıcı kayıt defteri güvenliğinin amacı, kayıt defterine kapsayıcı görüntüleri yüklenirken, görüntü kayıt defterinde depolanırken ve kayıt defterinden görüntü indirilirken güvenlik açıklarının ortaya çıkarılmamasını sağlamaktır. AKS, Azure Container Registry kullanılmasını önerir. Azure Container Registry, güvenlik açığı tarama ve diğer güvenlik özellikleriyle birlikte gelir. Daha fazla bilgi için Azure Container Registry belgelerine bakın. |
| Kapsayıcılar için gMSA kullanan Windows iş yükleri için kimlikleri Microsoft Entra | Windows kapsayıcı iş yükleri kapsayıcı konağı kimliğini devralabilir ve bunu kimlik doğrulaması için kullanabilir. Yeni geliştirmelerle, kapsayıcı konağı etki alanına katılmış olması gerekmez. Daha fazla bilgi için bkz. Windows iş yükleri için gMSA tümleştirmesi. |
Yerleşik güvenlik özellikleri
Bu bölümde, Azure Arc tarafından etkinleştirilen AKS'de şu anda kullanılabilen yerleşik güvenlik özellikleri açıklanmaktadır:
| Güvenlik hedefi | Özellik |
|---|---|
| API sunucusuna erişimi koruma. | PowerShell ve Windows Admin Center istemcileri için Active Directory çoklu oturum açma desteği. Bu özellik şu anda yalnızca iş yükü kümeleri için etkinleştirilmiştir. |
| Kontrol düzleminin yerleşik Kubernetes bileşenleri arasındaki tüm iletişimin güvenli olduğundan emin olun. Bu, API sunucusu ile iş yükü kümesi arasındaki iletişimin de güvenli olmasını sağlar. | Sertifikaları sağlamak, yenilemek ve iptal etmek için sıfır dokunmatik yerleşik sertifika çözümü. Daha fazla bilgi için bkz . Sertifikalarla güvenli iletişim. |
| Anahtar Yönetimi Sunucusu (KMS) eklentisini kullanarak Kubernetes gizli dizi deposunun (etcd) şifreleme anahtarlarını döndürün. | Anahtar döndürmeyi belirtilen KMS sağlayıcısıyla tümleştirmeye ve düzenlemeye yönelik eklenti. Daha fazla bilgi edinmek için bkz. Etcd gizli dizilerini şifreleme. |
| Hem Windows hem de Linux kapsayıcıları için iş yüklerini destekleyen kapsayıcılar için gerçek zamanlı tehdit izleme. | Azure Arc'a bağlı Kubernetes için Azure Defender ile tümleştirme; Azure Arc'a bağlı Kubernetes için Kubernetes tehdit algılama ga sürümüne kadar genel önizleme özelliği olarak sunulur. Daha fazla bilgi için bkz . Azure Arc özellikli Kubernetes kümelerini savunma. |
| Windows iş yükleri için kimlik Microsoft Entra. | Microsoft Entra kimliğini yapılandırmak için Windows iş yükleri için gMSA tümleştirmesini kullanın. |
| Podlar arasındaki trafiğin güvenliğini sağlamak için Calico ilkeleri desteği | Calico ilkelerini kullanmak için bkz . Ağ ilkelerini kullanarak podlar arasındaki trafiğin güvenliğini sağlama. |
Sonraki adımlar
Bu konu başlığında, Azure Arc tarafından etkinleştirilen AKS'nin güvenliğini sağlamaya yönelik kavramlar ve Kubernetes kümelerindeki uygulamaların güvenliğini sağlama hakkında bilgi edinmişsinizdir.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin