Biztonságos hozzáférés az Azure-erőforrásokhoz az Azure Kubernetes Service-ben a Megbízható hozzáférés használatával
Ez a cikk bemutatja, hogyan férhet hozzá biztonságosan az Azure-szolgáltatásokhoz a Kubernetes API-kiszolgálóhoz az Azure Kubernetes Service-ben (AKS) a Megbízható hozzáférés használatával.
A Megbízható hozzáférés funkció biztonságos hozzáférést biztosít a szolgáltatások számára az AKS API-kiszolgálóhoz az Azure háttérrendszerének használatával, privát végpont megkövetelése nélkül. AHelyett, hogy Microsoft Entra-engedélyekkel rendelkező identitásokra támaszkodna, ez a funkció a rendszer által hozzárendelt felügyelt identitással hitelesítheti az AKS-fürtökkel használni kívánt felügyelt szolgáltatásokkal és alkalmazásokkal.
Feljegyzés
A Trusted Access API általánosan elérhető. Általános rendelkezésre állási (GA) támogatást biztosítunk az Azure CLI-hez, de még előzetes verzióban van, és az aks-preview bővítmény használatát igényli.
A Megbízható hozzáférés funkció áttekintése
A Megbízható hozzáférés a következő forgatókönyveket kezeli:
- Ha egy engedélyezett IP-címtartomány be van állítva vagy egy privát fürtben, előfordulhat, hogy az Azure-szolgáltatások csak akkor férhetnek hozzá a Kubernetes API-kiszolgálóhoz, ha magánvégpont-hozzáférési modellt implementál.
- Az Azure-szolgáltatás rendszergazdájának a Kubernetes API-hoz való hozzáférésének biztosítása nem követi a legkevésbé ajánlott jogosultsági hozzáférési gyakorlatot, és a jogosultságok eszkalációjához vagy a hitelesítő adatok kiszivárgásának kockázatához vezethet. Előfordulhat például, hogy magas jogosultságú szolgáltatások közötti engedélyeket kell implementálnia, és ezek nem ideálisak egy auditvizsgálat során.
A Megbízható hozzáférés használatával kifejezett hozzájárulást adhat a rendszer által hozzárendelt felügyelt identitáshoz az engedélyezett erőforrások számára az AKS-fürtök eléréséhez egy szerepkörkötésnek nevezett Azure-erőforrás használatával. Az Azure-erőforrások a rendszer által hozzárendelt felügyelt identitás hitelesítésével férnek hozzá az AKS-fürtökhöz az AKS regionális átjárón keresztül. A megfelelő Kubernetes-engedélyek egy szerepkörnek nevezett Azure-erőforráson keresztül vannak hozzárendelve. A Megbízható hozzáférés szolgáltatással különböző konfigurációjú AKS-fürtöket érhet el, többek között privát fürtöket, helyi fiókokat kikapcsolt fürtöket, Microsoft Entra-fürtöket és engedélyezett IP-tartományfürtöket.
Előfeltételek
- Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
- A rendszer által hozzárendelt felügyelt identitást támogató erőforrástípusok.
- Az Azure CLI 2.53.0-s vagy újabb verziója. Futtassa
az --version
a verziót. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése. - A különböző forgatókönyvekben használandó szerepkörökről az alábbi cikkekből tájékozódhat:
- A fürthöz elérni kívánt Azure-erőforrással megegyező előfizetésben hozzon létre egy AKS-fürtöt.
Csatlakozás a fürthöz
Konfigurálja kubectl
a fürthöz való csatlakozást a az aks get-credentials
paranccsal.
export RESOURCE_GROUP_NAME="myResourceGroup"
export CLUSTER_NAME="myClusterName"
az aks get-credentials --resource-group ${RESOURCE_GROUP_NAME} --name ${CLUSTER_NAME} --overwrite-existing
Ellenőrizze a fürthöz való kapcsolatot a kubectl get
paranccsal.
kubectl get nodes
Válassza ki a szükséges megbízható hozzáférési szerepköröket
A kiválasztott szerepkörök az AKS-fürthöz elérni kívánt Azure-szolgáltatásoktól függnek. Az Azure-szolgáltatások segítenek olyan szerepkörök és szerepkör-kötések létrehozásában, amelyek az Azure-szolgáltatás és az AKS közötti kapcsolatot építik ki.
A szükséges szerepkörök megkereséséhez tekintse meg az AKS-hez csatlakozni kívánt Azure-szolgáltatás dokumentációját. Az Azure CLI-vel is listázhatja az Azure-szolgáltatáshoz elérhető szerepköröket a az aks trustedaccess role list --location <location>
parancs használatával.
Megbízható hozzáférési szerepkör kötésének létrehozása
Miután megerősítette, hogy melyik szerepkört szeretné használni, az Azure CLI használatával hozzon létre egy megbízható hozzáférésű szerepkör-kötést az AKS-fürtben. A szerepkör-kötés társítja a kiválasztott szerepkört az Azure-szolgáltatáshoz.
export ROLE_BINDING_NAME="myRoleBindingName"
export SOURCE_RESOURCE_ID="mySourceResourceID"
export ROLE_NAME_1="myRoleName1"
export ROLE_NAME_2="myRoleName2"
az aks trustedaccess rolebinding create --resource-group ${RESOURCE_GROUP_NAME} --cluster-name ${CLUSTER_NAME} --name ${ROLE_BINDING_NAME} --source-resource-id ${SOURCE_RESOURCE_ID} --roles ${ROLE_NAME_1},${ROLE_NAME_2}
Eredmények:
{
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/${RESOURCE_GROUP_NAME}/providers/Microsoft.ContainerService/managedClusters/${CLUSTER_NAME}/trustedAccessRoleBindings/${ROLE_BINDING_NAME}",
"name": "${ROLE_BINDING_NAME}",
"provisioningState": "Succeeded",
"resourceGroup": "${RESOURCE_GROUP_NAME}",
"roles": [
"${ROLE_NAME_1}",
"${ROLE_NAME_2}"
],
"sourceResourceId": "${SOURCE_RESOURCE_ID}",
"systemData": null,
"type": "Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings"
}
Feljegyzés
Egy AKS-fürtben legfeljebb 8 megbízható hozzáférésű szerepkör-kötés hozható létre.
Meglévő Megbízható hozzáférés szerepkör-kötés frissítése
Meglévő, forrásszolgáltatással rendelkező szerepkörkötés esetén a parancs használatával az aks trustedaccess rolebinding update --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME --name $ROLE_BINDING_NAME --roles $ROLE_NAME_3,$ROLE_NAME_4
frissítheti a szerepkörkötést új szerepkörökkel. Ez a parancs frissíti a szerepkör-kötést a megadott új szerepkörökkel.
Feljegyzés
A bővítménykezelő öt percenként frissíti a fürtöket, így az új szerepkör-kötés érvénybe lépése akár öt percet is igénybe vehet. Az új szerepkörkötés érvénybe lépése előtt a meglévő szerepkörkötés továbbra is működik.
A parancs segítségével az aks trusted access rolebinding list
ellenőrizheti az aktuális szerepkör-kötést.
Megbízható hozzáférés szerepkör kötésének megjelenítése
Egy adott Megbízható hozzáférés szerepkör-kötés megjelenítése a az aks trustedaccess rolebinding show --name $ROLE_BINDING_NAME --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME
paranccsal.
A fürthöz tartozó összes Megbízható hozzáférés szerepkör-kötés listázása
A parancs használatával listázhatja egy fürt megbízható hozzáférésű szerepkör-kötéseit az aks trustedaccess rolebinding list --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME
.
Kapcsolódó tartalom
Azure Kubernetes Service