Azure Arc özellikli Kubernetes için kimlik ve erişim yönetimi
Azure Arc özellikli Kubernetes, farklı kimlik ve erişim yönetimi sistemleriyle tümleştirilmiş şirket içi ve diğer bulut ortamlarını destekler. Mevcut Kubernetes kümesi rol tabanlı erişim denetimine (RBAC) ek olarak Azure Arc özellikli Kubernetes, Kubernetes kümeleri arasında erişim yönetimini birleştirmek ve işlem yükünü en aza indirmek için Azure RBAC'yi destekler.
Kuruluşunuzun kullanması gereken RBAC modelleri, kuruluşunuzun hangi kullanım gereksinimlerine sahip olduğuna bağlıdır. Bazı örnekler şunlardır:
- Kubernetes kümesini Azure Arc'a ekleme
- Arc özellikli Kubernetes kümesini yönetme
- Azure Arc kümesi uzantılarını yükleme
- Arc özellikli kubernetes kümesinde uygulama çalıştırma
- Azure kaynaklarına erişmek için Azure RBAC kullanma
Hem kuruluşunuzun gereksinimlerini hem de Azure Arc özellikli Kubernetes'in özelliklerini anlamak, Arc özellikli bir Kubernetes kümesi oluştururken belirli altyapınız, güvenliğiniz ve idare gereksinimleriniz için en iyi RBAC modellerini seçmenize olanak tanır.
Bu makalede, çeşitli senaryolar için Azure Arc özellikli Kubernetes kimlik ve erişim yönetimi (IAM) mimarisi, tasarım konuları, öneriler ve rol tabanlı erişim denetimleri açıklanmaktadır.
Mimari
Kuruluşunuz için doğru mimariyi tasarlamak için Arc özellikli Kubernetes bağlantı modlarını anlamanız gerekir. Azure RBAC yalnızca tam bağlı modda desteklenir, yarı bağlı modda desteklenmez.
Azure Arc özellikli Kubernetes üzerinde Azure RBAC
Aşağıdaki diyagramda çeşitli Azure Arc özellikli Kubernetes bileşenleri ve Bir Kubernetes kümesini yönetmek için Azure RBAC kullanıldığında nasıl etkileşime geçtiği gösterilmektedir.
Azure Arc özellikli Kubernetes kümesine her yerden güvenli bir şekilde erişme
Aşağıdaki diyagramda her yerden Azure Arc özellikli Kubernetes kümesi erişimi gösterilir ve Azure RBAC kullanarak bir kümeyi yönetmek için bileşenlerin birbirleriyle nasıl etkileşime geçtiğini gösterir.
Tasarımla ilgili dikkat edilecek noktalar
Kubernetes kümesi ekleme için:
- Kubernetes kümelerini Azure Arc'a tek tek veya uygun ölçekte eklemek için Microsoft Entra kullanıcısı (tek kümenin el ile eklemesi için) ile hizmet sorumlusu (birden çok kümenin betikli ve başsız eklemesi için) arasında karar verin. Daha fazla uygulama ayrıntısı için Otomasyon uzmanlık alanları kritik tasarım alanına bakın.
- Ekleme varlığının kimliğinin kümede küme yöneticisi ClusterRoleBinding olması gerekir. Şirket içi veya başka bir bulut kimliği sağlayıcınızdan bir kullanıcı kullanmak veya küme yöneticisi rolüne sahip bir Kubernetes hizmet hesabı kullanmak arasında karar verin.
Kubernetes küme yönetimi için:
- Azure Arc özellikli Kubernetes, Microsoft Entra kimlik doğrulaması ve Azure RBAC'yi şirket içi veya diğer bulut Kubernetes ortamlarına getirdiği için, kuruluşunuzun güvenlik ve idare gereksinimlerine bağlı olarak mevcut Kubernetes erişim yönetimi ile Azure RBAC arasında karar vermeniz gerekir.
- Azure Arc özellikli Kubernetes Kümesi Bağlan gelen güvenlik duvarı bağlantı noktalarınız şirket içi veya diğer bulut ağlarınıza açık olmadan Kubernetes kümesini yönetme esnekliği verip vermediğini belirleyin.
- Şirket içinde ve diğer bulut ortamlarında çalışan çok sayıda Kubernetes kümeniz olduğunda ve tüm Kubernetes kümelerinde küme yönetimini basitleştirmeniz gerektiğinde Azure RBAC'nin doğru seçenek olup olmadığını belirleyin.
Tasarım önerileri
Kubernetes kümesi ekleme için:
- Azure Arc özellikli Kubernetes kümelerini ekleme ve yönetme için Azure Arc özellikli Kubernetes kümesi RBAC rolleri vermek için Microsoft Entra güvenlik gruplarını kullanın.
Kubernetes küme yönetimi için:
Şirket içi kimlikleriniz Microsoft Entra Id ile eşitlenmişse, küme yönetimi için Azure RBAC kullanırken aynı kimlikleri kullanın.
Güvenlik grupları oluşturarak erişim yönetiminizi basitleştirin ve bunları Azure Arc özellikli Kubernetes tarafından desteklenen Azure RBAC rolleriyle eşleyin. Kaynak kuruluşunuza ve idare gereksinimlerinize bağlı olarak kaynak grubu veya abonelik düzeyinde bu güvenlik gruplarına izinler atayın. Daha fazla bilgi için Bkz . Kaynak Kuruluşu kritik tasarım alanı.
Dekont
Azure Arc özellikli Kubernetes, 200'den fazla güvenlik grubu üyeliğine sahip kullanıcıları desteklemez ve bunun yerine bir kimlik doğrulama hatası verir.
Erişim yönetimini yönetmek zor olduğundan Azure RBAC rollerine doğrudan kullanıcı atamasından kaçının.
Güvenlik grubu sahipleri atayarak erişim yönetimi sorumluluğu ve denetim atamalarını merkezi olmayan hale getirir ve temsilci olarak atar.
Artık Kubernetes kümelerine erişmesi gerekmeyen kullanıcıları kaldırmak için Microsoft Entra Id'de düzenli erişim gözden geçirmelerini etkinleştirin.
Güvenlik ve idare ilkelerini karşılamak üzere çeşitli koşulları zorunlu kılmak üzere küme yönetimi için Azure RBAC kullanırken koşullu erişim ilkeleri oluşturun.
Rol tabanlı erişim denetimleri
Azure Arc özellikli Kubernetes, Azure RBAC kullanarak Kubernetes kümelerini yönetir ve Kubernetes kümelerini Azure Arc'a eklemek için aşağıdaki Rolleri destekler.
Rol | Tanım |
---|---|
Azure Arc özellikli Kubernetes Kümesi Kullanıcı Rolü | Kümeleri her yerden yönetmek için Küme Bağlan tabanlı kubeconfig dosyasını getirmenize olanak tanır. |
Azure Arc Kubernetes Yönetici | Kaynak kotalarını ve ad alanlarını güncelleştirme veya silme dışında küme/ad alanı altındaki tüm kaynakları yönetmenize olanak tanır. |
Azure Arc Kubernetes Kümesi Yönetici | Kümedeki tüm kaynakları yönetmenize olanak tanır. |
Azure Arc Kubernetes Viewer | Gizli diziler dışında küme/ad alanı içindeki tüm kaynakları görüntülemenizi sağlar. |
Azure Arc Kubernetes Yazıcı | (küme) rolleri ve (küme) rol bağlamaları dışında küme/ad alanı içindeki her şeyi güncelleştirmenizi sağlar. |
Kubernetes Kümesi - Azure Arc Ekleme | Rol tanımı, bağlı küme kaynakları oluşturmak için tüm kullanıcıları/hizmetleri yetkilendirmenize olanak tanır |
Sonraki adımlar
Hibrit ve çoklu bulut bulut yolculuğunuz hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Azure Arc özellikli Kubernetes için önkoşulları gözden geçirin.
- Azure Arc özellikli Kubernetes için doğrulanmış Kubernetes dağıtımlarını gözden geçirin.
- Hibrit ve çoklu bulut ortamlarını yönetme makalesini gözden geçirin.
- Azure Arc özellikli Kubernetes kümesi için Azure RBAC kullanılırken uygulanacak yaygın koşullu erişim ilkelerini gözden geçirin.
- Kaynak organizasyonu , Azure RBAC kullanarak idare ve güvenliği planlamanıza ve uygulamanıza yardımcı olabilir.
- Microsoft Entra Id'yi Azure Arc özellikli Kubernetes kümeleri ile tümleştirmeyi öğrenin.
- Küme bağlantısı kullanarak kümenize her yerden güvenli bir şekilde erişmeyi öğrenin.
- Azure Giriş Bölgeleri - Azure kimlik ve erişim yönetimi tasarım alanını gözden geçirin.
- Bulut Benimseme Çerçevesi - Erişim Denetimi metodolojisini gözden geçirin.
- Azure Arc Jumpstart ile Azure Arc özellikli Kubernetes otomatik senaryolarını deneyimleyin.
- Azure Arc öğrenme yolu aracılığıyla Azure Arc hakkında daha fazla bilgi edinin.
- Sık Sorulan Sorular - Azure Arc özellikli bölümünü gözden geçirerek en sık sorulan soruların yanıtlarını bulun.