Azure Arc 启用的 AKS 中的安全概念
适用于:Azure Stack HCI 22H2 上的 AKS、Windows Server 上的 AKS
Azure Arc 启用的 AKS 中的安全性涉及保护基础结构和 Kubernetes 群集上运行的应用程序。 Arc 启用的 AKS 支持Azure Kubernetes 服务 (AKS) 的混合部署选项。 本文介绍用于保护 Kubernetes 群集上的基础结构和应用程序的强化安全措施和内置安全功能。
基础结构安全性
Arc 启用的 AKS 应用各种安全措施来保护其基础结构。 下图突出显示了这些措施:
下表描述了上图中显示的 Azure Stack HCI 上的 AKS 的安全强化方面。 有关 AKS 部署的基础结构的概念性背景信息,请参阅 群集和工作负载。
| 安全性方面 | 说明 |
|---|---|
| 1 | 由于 AKS 主机有权访问目标) 群集 (所有工作负载,因此此群集可能是单一入侵点。 但是,AKS 主机的访问权限将受到谨慎的控制,因为管理群集的用途仅限于预配工作负载群集和收集聚合的群集指标。 |
| 2 | 为了降低部署成本和复杂性,工作负载群集将共享基础 Windows Server。 但是,管理员可以根据安全需求,选择在专用 Windows Server 上部署工作负载群集。 当工作负载群集共享基础 Windows Server 时,每个群集将作为虚拟机进行部署,这可以确保在工作负载群集之间提供强大的隔离保证。 |
| 3 | 客户工作负载作为容器进行部署,并共享同一个虚拟机。 容器相互之间保持进程隔离,与虚拟机提供的强大隔离保证相比,这是一种较弱的隔离形式。 |
| 4 | 容器通过一个覆盖网络相互通信。 管理员可以配置 Calico 策略以定义容器之间的网络隔离规则。 Calico 支持 Windows 和 Linux 容器,是原生受支持的开源产品。 |
| 5 | Azure Stack HCI 上的 AKS 的内置 Kubernetes 组件之间的通信(包括 API 服务器与容器主机之间的通信)是通过证书加密的。 AKS 为内置证书提供现成的证书预配、续订和吊销。 |
| 6 | 使用用户Microsoft Entra凭据保护从 Windows 客户端计算机与 API 服务器的通信。 |
| 7 | 对于每个版本,Microsoft 都会为 Azure Stack HCI 上的 AKS VM 提供 VHD,并在需要时应用适当的安全修补程序。 |
应用程序安全性
下表描述了 Arc 启用的 AKS 中提供的不同应用程序安全选项:
注意
可以选择使用所选开放源代码生态系统中提供的开放源代码应用程序强化选项。
| 选项 | 说明 |
|---|---|
| 生成安全性 | 保护内部版本的目的是防止将漏洞引入到应用程序代码或容器映像(在生成映像时)。 与已启用 Azure Arc 的 Kubernetes 的 Azure GitOps 集成有助于分析和观察,这让开发人员有机会修复安全问题。 有关详细信息,请参阅在已启用 Azure Arc 的 Kubernetes 群集上使用 GitOps 部署配置。 |
| 容器注册表安全性 | 容器注册表安全性旨在确保当映像存储在注册表中的情况下将容器映像上传到注册表时,以及在从注册表下载映像期间不会引入漏洞。 AKS 建议使用 Azure 容器注册表。 Azure 容器注册表附带漏洞扫描和其他安全功能。 有关详细信息,请参阅 Azure 容器注册表文档。 |
| 使用适用于容器的 gMSA 为 Windows 工作负载Microsoft Entra标识 | Windows 容器工作负载可以继承容器主机的标识,并使用该标识进行身份验证。 借助新的增强功能,容器主机无需加入域。 有关详细信息,请参阅 Windows 工作负载的 gMSA 集成。 |
内置安全功能
本部分介绍 Azure Arc 启用的 AKS 中当前提供的内置安全功能:
| 安全目标 | Feature |
|---|---|
| 保护对 API 服务器的访问。 | 针对 PowerShell 和 Windows Admin Center 客户端提供 Active Directory 单一登录支持。 目前只会为工作负载群集启用此功能。 |
| 确保控制平面的内置 Kubernetes 组件之间的所有通信是安全的。 这包括确保 API 服务器与工作负载群集之间的通信也是安全的。 | 用于预配、续订和吊销证书的零接触内置证书解决方案。 有关详细信息,请参阅 保护与证书的通信。 |
| 使用密钥管理服务器 (KMS) 插件轮换 Kubernetes 机密存储 (etcd) 的加密密钥。 | 用于集成指定的 KMS 提供程序并通过它协调密钥轮换的插件。 有关详细信息,请参阅加密 etcd 机密。 |
| 支持 Windows 和 Linux 容器工作负载的实时容器威胁监视。 | 与连接到 Azure Arc 的 Azure Defender for Kubernetes 集成,在连接到 Azure Arc 的 Kubernetes 的 Kubernetes 威胁检测正式发布之前,此功能作为公共预览功能提供。有关详细信息,请参阅 保护已启用 Azure Arc 的 Kubernetes 群集。 |
| Microsoft Entra Windows 工作负载的标识。 | 使用适用于 Windows 工作负载的 gMSA 集成来配置Microsoft Entra标识。 |
| 支持使用 Calico 策略来保护 Pod 之间的流量 | 若要使用 Calico 策略,请参阅使用网络策略保护 Pod 之间的流量。 |
后续步骤
在本主题中,你了解了保护由 Azure Arc 启用的 AKS 的概念,以及保护 Kubernetes 群集上的应用程序的概念。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈