已啟用 Azure Arc 的 Kubernetes 身分識別和存取管理
已啟用 Azure Arc 的 Kubernetes 支援與不同身分識別和存取管理系統整合的內部部署和其他雲端環境。 除了現有的 Kubernetes 叢集角色型存取控制 (RBAC),已啟用 Azure Arc 的 Kubernetes 還支援 Azure RBAC,以統一 Kubernetes 叢集之間的存取管理,並將作業額外負荷降至最低。
組織應該使用的 RBAC 模型組合取決於貴組織所需的使用方式。 部份範例如下:
- 將 Kubernetes 叢集上線至 Azure Arc
- 管理已啟用 Arc 的 Kubernetes 叢集
- 安裝 Azure Arc 叢集擴充功能
- 在已啟用 Arc 的 Kubernetes 叢集上執行應用程式
- 使用 Azure RBAC 存取 Azure 資源
瞭解貴組織的需求和已啟用 Azure Arc 的 Kubernetes 功能,可讓您在建置已啟用 Arc 的 Kubernetes 叢集時,為您的特定基礎結構、安全性和治理需求選擇最佳的 RBAC 模型。
本文說明適用于各種案例的已啟用 Azure Arc 的 Kubernetes 身分識別和存取管理 (IAM) 架構、設計考慮、建議和角色型存取控制。
架構
若要為您的組織設計正確的架構,您必須瞭解 已啟用 Arc 的 Kubernetes 連線模式 。 Azure RBAC 僅支援完全連線模式,而不是半連線模式。
已啟用 Azure Arc 的 Kubernetes 上的 Azure RBAC
下圖顯示各種已啟用 Azure Arc 的 Kubernetes 元件,以及在 Azure RBAC 用來管理 Kubernetes 叢集時 如何互動。
從任何地方安全地存取已啟用 Azure Arc 的 Kubernetes 叢集
下圖顯示 隨處 啟用 Azure Arc 的 Kubernetes 叢集存取,並顯示元件如何彼此互動,以使用 Azure RBAC 管理叢集。
設計考量
檢閱 Azure 登陸區域的身分識別和存取管理設計區域 ,以評估已啟用 Azure Arc 的 Kubernetes 對整體身分識別和存取模型的影響。
針對 Kubernetes 叢集上線:
- 決定 Microsoft Entra 使用者(針對手動上線單一叢集)與服務主體(針對多個叢集的腳本和無前端上線),以個別或大規模地將 Kubernetes 叢集上線至 Azure Arc。 如需更多實作詳細資料,請參閱 自動化專業領域的重要設計區域 。
- 上架實體的身分識別必須在叢集上擁有叢集管理員 ClusterRoleBinding。 決定使用來自內部部署或其他雲端識別提供者的使用者,或使用具有叢集管理員角色的 Kubernetes 服務帳戶。
針對 Kubernetes 叢集管理:
- 啟用 Azure Arc 的 Kubernetes 將 Microsoft Entra 驗證和 Azure RBAC 帶入內部部署或其他雲端 Kubernetes 環境時,您必須根據組織的安全性和治理需求,在現有的 Kubernetes 存取管理和 Azure RBAC 之間決定。
- 判斷已啟用 Azure Arc 的 Kubernetes 叢集連線是否可讓您彈性 地管理 Kubernetes 叢集 ,而不需要對內部部署或其他雲端網路開啟輸入防火牆埠。
- 當您有許多 Kubernetes 叢集在內部部署和其他雲端環境中執行,且您需要簡化所有 Kubernetes 叢集的叢集管理時,判斷 Azure RBAC 是否是正確的選擇。
設計建議
針對 Kubernetes 叢集上線:
- 使用 Microsoft Entra 安全性群組 授與已啟用 Azure Arc 的 Kubernetes 叢集 RBAC 角色,以便上線和管理已啟用 Azure Arc 的 Kubernetes 叢集。
針對 Kubernetes 叢集管理:
如果您的內部部署身分識別與 Microsoft Entra ID 同步處理,請在使用 Azure RBAC 進行叢集管理時使用相同的身分識別。
建立 安全性群組 並將其對應至已啟用 Azure Arc 的 Kubernetes 支援的 Azure RBAC 角色,以簡化存取管理。 根據您的資源組織和治理需求,在資源群組或訂用帳戶層級指派許可權給這些安全性群組。 如需詳細資訊,請參閱 資源組織重要設計區域 。
注意
已啟用 Azure Arc 的 Kubernetes 不支援具有超過 200 個安全性群組成員資格的使用者,而是會提供驗證錯誤。
避免將使用者直接指派給 Azure RBAC 角色,因為管理存取管理很困難。
指派安全性群組擁有者,以分散和委派存取管理責任和稽核指派。
啟用 Microsoft Entra 識別碼中的定期 存取權檢閱 ,以移除不再需要 Kubernetes 叢集存取權的使用者。
使用 Azure RBAC 進行叢集管理時,建立 條件式存取 原則,以強制執行各種條件以符合安全性和治理原則。
角色型存取控制
已啟用 Azure Arc 的 Kubernetes 會使用 Azure RBAC 來管理 Kubernetes 叢集,並支援下列角色,將 Kubernetes 叢集上線至 Azure Arc。
| 角色 | 描述 |
|---|---|
| 已啟用 Azure Arc 的 Kubernetes 叢集使用者角色 | 可讓您擷取叢集連線型 kubeconfig 檔案,以從任何地方管理叢集。 |
| Azure Arc Kubernetes 管理員 | 可讓您管理叢集/命名空間下的所有資源,但更新或刪除資源配額和命名空間除外。 |
| Azure Arc Kubernetes 叢集管理員 | 可讓您管理叢集中的所有資源。 |
| Azure Arc Kubernetes Viewer | 可讓您檢視叢集/命名空間中的所有資源,但秘密除外。 |
| Azure Arc Kubernetes 寫入器 | 可讓您更新叢集/命名空間中的所有專案,但 [叢集] 角色和 [叢集] 角色系結除外。 |
| Kubernetes 叢集 - Azure Arc 上線 | 角色定義可讓您授權任何使用者/服務建立連線的叢集資源 |
下一步
如需混合式和多重雲端雲端旅程的詳細資訊,請參閱下列文章:
- 檢閱 已啟用 Azure Arc 的 Kubernetes 的必要條件 。
- 檢閱 已啟用 Azure Arc 之 Kubernetes 的已驗證 Kubernetes 散發 套件。
- 檢閱 管理混合式和多重雲端環境 。
- 針對已啟用 Azure Arc 的 Kubernetes 叢集使用 Azure RBAC 時,請檢閱 要套用的常見條件式存取 原則。
- 資源組織 可協助您使用 Azure RBAC 規劃和套用治理和安全性。
- 瞭解如何 整合 Microsoft Entra ID 與已啟用 Azure Arc 的 Kubernetes 叢集 。
- 瞭解如何 使用叢集連線,從任何地方安全地 存取您的叢集。
- 檢閱 Azure 登陸區域 - Azure 身分識別和存取管理設計區域 。
- 檢閱 雲端採用架構 - 存取控制 方法。
- 使用 Azure Arc Jumpstart 體驗 已啟用 Azure Arc 的 Kubernetes 自動化案例。
- 透過 Azure Arc 學習路徑 深入瞭解 Azure Arc。
- 檢閱 常見問題 - 已啟用 Azure Arc 以尋找最常見問題的答案。