Azure Arc özellikli Kubernetes kümelerinde Azure RBAC
Kubernetes ClusterRoleBinding ve RoleBinding nesne türleri, Kubernetes'te yerel olarak yetkilendirme tanımlamaya yardımcı olur. Azure rol tabanlı erişim denetimi (Azure RBAC) ile Kümede yetkilendirme denetimlerini denetlemek için Azure'daki Microsoft Entra Id ve rol atamalarını kullanabilirsiniz. Bu, Bir Azure kaynağındaki tüm Azure RBAC değişikliklerini gösteren etkinlik günlükleri gibi Azure rol atamalarının Azure Arc özellikli Kubernetes kümenizle kullanılmasını sağlar.
Mimari
Tüm yetkilendirme erişim denetimlerini Azure'daki yetkilendirme hizmetine yönlendirmek için kümede bir web kancası sunucusu (guard) dağıtılır.
apiserver Kümenin adı, web kancası belirteci kimlik doğrulaması ve web kancası yetkilendirmesini kullanacak şekilde yapılandırılır, böylece TokenAccessReview ve SubjectAccessReview istekleri guard web kancası sunucusuna yönlendirilir. TokenAccessReview ve SubjectAccessReview istekleri, öğesine gönderilen apiserverKubernetes kaynaklarına yönelik istekler tarafından tetiklenir.
Ardından Guard, istekte bulunan Microsoft Entra varlığının ilgili kaynağa erişimi olup olmadığını görmek için Azure'daki yetkilendirme hizmetinde bir checkAccess çağrı yapar.
Bu varlığın bu erişime izin veren bir rolü varsa, yetkilendirme hizmetinden korunmak için bir allowed yanıt gönderilir. Guard da buna karşılık olarak öğesine bir allowed yanıt apiservergönderir ve çağıran varlığın istenen Kubernetes kaynağına erişmesini sağlar.
Varlığın bu erişime izin veren bir rolü yoksa, yetkilendirme hizmetinden korumaya bir denied yanıt gönderilir. Guard, çağrısı varlığına istenen kaynakta 403 yasak hatası veren bir denied yanıt apiservergönderir.
Sonraki adımlar
- Kubernetes kümesini Azure Arc'a bağlamak için hızlı başlangıcımızı kullanın.
- Azure Arc özellikli Kubernetes kümenizde Azure RBAC'i ayarlayın.