Megosztás a következőn keresztül:


Biztonságos hozzáférés az Azure-erőforrásokhoz az Azure Kubernetes Service-ben a Megbízható hozzáférés használatával

Ez a cikk bemutatja, hogyan férhet hozzá biztonságosan az Azure-szolgáltatásokhoz a Kubernetes API-kiszolgálóhoz az Azure Kubernetes Service-ben (AKS) a Megbízható hozzáférés használatával.

A Megbízható hozzáférés funkció biztonságos hozzáférést biztosít a szolgáltatások számára az AKS API-kiszolgálóhoz az Azure háttérrendszerének használatával, privát végpont megkövetelése nélkül. AHelyett, hogy Microsoft Entra-engedélyekkel rendelkező identitásokra támaszkodna, ez a funkció a rendszer által hozzárendelt felügyelt identitással hitelesítheti az AKS-fürtökkel használni kívánt felügyelt szolgáltatásokkal és alkalmazásokkal.

Feljegyzés

A Trusted Access API általánosan elérhető. Általános rendelkezésre állási (GA) támogatást biztosítunk az Azure CLI-hez, de még előzetes verzióban van, és az aks-preview bővítmény használatát igényli.

A Megbízható hozzáférés funkció áttekintése

A Megbízható hozzáférés a következő forgatókönyveket kezeli:

  • Ha egy engedélyezett IP-címtartomány be van állítva vagy egy privát fürtben, előfordulhat, hogy az Azure-szolgáltatások csak akkor férhetnek hozzá a Kubernetes API-kiszolgálóhoz, ha magánvégpont-hozzáférési modellt implementál.
  • Az Azure-szolgáltatás rendszergazdájának a Kubernetes API-hoz való hozzáférésének biztosítása nem követi a legkevésbé ajánlott jogosultsági hozzáférési gyakorlatot, és a jogosultságok eszkalációjához vagy a hitelesítő adatok kiszivárgásának kockázatához vezethet. Előfordulhat például, hogy magas jogosultságú szolgáltatások közötti engedélyeket kell implementálnia, és ezek nem ideálisak egy auditvizsgálat során.

A Megbízható hozzáférés használatával kifejezett hozzájárulást adhat a rendszer által hozzárendelt felügyelt identitáshoz az engedélyezett erőforrások számára az AKS-fürtök eléréséhez egy szerepkörkötésnek nevezett Azure-erőforrás használatával. Az Azure-erőforrások a rendszer által hozzárendelt felügyelt identitás hitelesítésével férnek hozzá az AKS-fürtökhöz az AKS regionális átjárón keresztül. A megfelelő Kubernetes-engedélyek egy szerepkörnek nevezett Azure-erőforráson keresztül vannak hozzárendelve. A Megbízható hozzáférés szolgáltatással különböző konfigurációjú AKS-fürtöket érhet el, többek között privát fürtöket, helyi fiókokat kikapcsolt fürtöket, Microsoft Entra-fürtöket és engedélyezett IP-tartományfürtöket.

Előfeltételek

Csatlakozás a fürthöz

Konfigurálja kubectl a fürthöz való csatlakozást a az aks get-credentials paranccsal.

export RESOURCE_GROUP_NAME="myResourceGroup"
export CLUSTER_NAME="myClusterName"

az aks get-credentials --resource-group ${RESOURCE_GROUP_NAME} --name ${CLUSTER_NAME} --overwrite-existing

Ellenőrizze a fürthöz való kapcsolatot a kubectl get paranccsal.

kubectl get nodes

Válassza ki a szükséges megbízható hozzáférési szerepköröket

A kiválasztott szerepkörök az AKS-fürthöz elérni kívánt Azure-szolgáltatásoktól függnek. Az Azure-szolgáltatások segítenek olyan szerepkörök és szerepkör-kötések létrehozásában, amelyek az Azure-szolgáltatás és az AKS közötti kapcsolatot építik ki.

A szükséges szerepkörök megkereséséhez tekintse meg az AKS-hez csatlakozni kívánt Azure-szolgáltatás dokumentációját. Az Azure CLI-vel is listázhatja az Azure-szolgáltatáshoz elérhető szerepköröket a az aks trustedaccess role list --location <location> parancs használatával.

Megbízható hozzáférési szerepkör kötésének létrehozása

Miután megerősítette, hogy melyik szerepkört szeretné használni, az Azure CLI használatával hozzon létre egy megbízható hozzáférésű szerepkör-kötést az AKS-fürtben. A szerepkör-kötés társítja a kiválasztott szerepkört az Azure-szolgáltatáshoz.

export ROLE_BINDING_NAME="myRoleBindingName"
export SOURCE_RESOURCE_ID="mySourceResourceID"
export ROLE_NAME_1="myRoleName1"
export ROLE_NAME_2="myRoleName2"

az aks trustedaccess rolebinding create --resource-group ${RESOURCE_GROUP_NAME} --cluster-name ${CLUSTER_NAME} --name ${ROLE_BINDING_NAME} --source-resource-id ${SOURCE_RESOURCE_ID} --roles ${ROLE_NAME_1},${ROLE_NAME_2}

Eredmények:

{
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/${RESOURCE_GROUP_NAME}/providers/Microsoft.ContainerService/managedClusters/${CLUSTER_NAME}/trustedAccessRoleBindings/${ROLE_BINDING_NAME}",
  "name": "${ROLE_BINDING_NAME}",
  "provisioningState": "Succeeded",
  "resourceGroup": "${RESOURCE_GROUP_NAME}",
  "roles": [
    "${ROLE_NAME_1}",
    "${ROLE_NAME_2}"
  ],
  "sourceResourceId": "${SOURCE_RESOURCE_ID}",
  "systemData": null,
  "type": "Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings"
}

Feljegyzés

Egy AKS-fürtben legfeljebb 8 megbízható hozzáférésű szerepkör-kötés hozható létre.

Meglévő Megbízható hozzáférés szerepkör-kötés frissítése

Meglévő, forrásszolgáltatással rendelkező szerepkörkötés esetén a parancs használatával az aks trustedaccess rolebinding update --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME --name $ROLE_BINDING_NAME --roles $ROLE_NAME_3,$ROLE_NAME_4 frissítheti a szerepkörkötést új szerepkörökkel. Ez a parancs frissíti a szerepkör-kötést a megadott új szerepkörökkel.

Feljegyzés

A bővítménykezelő öt percenként frissíti a fürtöket, így az új szerepkör-kötés érvénybe lépése akár öt percet is igénybe vehet. Az új szerepkörkötés érvénybe lépése előtt a meglévő szerepkörkötés továbbra is működik.

A parancs segítségével az aks trusted access rolebinding list ellenőrizheti az aktuális szerepkör-kötést.

Megbízható hozzáférés szerepkör kötésének megjelenítése

Egy adott Megbízható hozzáférés szerepkör-kötés megjelenítése a az aks trustedaccess rolebinding show --name $ROLE_BINDING_NAME --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME paranccsal.

A fürthöz tartozó összes Megbízható hozzáférés szerepkör-kötés listázása

A parancs használatával listázhatja egy fürt megbízható hozzáférésű szerepkör-kötéseit az aks trustedaccess rolebinding list --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME .