إدارة الحسابات المحلية باستخدام تكامل Microsoft Entra المدار بواسطة AKS
عند نشر نظام مجموعة AKS، يتم تمكين الحسابات المحلية بشكل افتراضي. حتى عند تمكين تكامل RBAC أو Microsoft Entra، --admin لا يزال الوصول موجودا كخيار خلفي غير قابل للتدقيق. توضح هذه المقالة كيفية تعطيل الحسابات المحلية على مجموعة موجودة، وإنشاء نظام مجموعة جديد مع تعطيل الحسابات المحلية، وإعادة تمكين الحسابات المحلية على المجموعات الموجودة.
قبل البدء
- راجع تكامل Microsoft Entra المدار بواسطة AKS للحصول على نظرة عامة وإرشادات الإعداد.
تعطيل الحسابات المحلية
يمكنك تعطيل الحسابات المحلية باستخدام المعلمة disable-local-accounts. properties.disableLocalAccounts تمت إضافة الحقل إلى واجهة برمجة تطبيقات نظام المجموعة المدارة للإشارة إلى ما إذا كانت الميزة ممكنة أم لا على نظام المجموعة.
إشعار
على المجموعات التي تم تمكين تكامل Microsoft Entra عليها، لا يزال بإمكان المستخدمين المعينين لمجموعة مسؤولي Microsoft Entra المحددة بواسطة
aad-admin-group-object-idsالوصول باستخدام بيانات اعتماد غير المسؤول. على أنظمة المجموعات التي لم يتم تمكين تكامل Microsoft Entra وتعيينهاproperties.disableLocalAccountsإلىtrue، ستفشل أي محاولة للمصادقة باستخدام بيانات اعتماد المستخدم أو المسؤول.بعد تعطيل حسابات المستخدمين المحليين على مجموعة AKS موجودة حيث قد يكون المستخدمون قد قاموا بالمصادقة باستخدام حسابات محلية، يجب على المسؤول تدوير شهادات نظام المجموعة لإبطال الشهادات التي قد يكون لديهم حق الوصول إليها. إذا كانت هذه مجموعة جديدة، فلا يلزم اتخاذ أي إجراء.
أنشئ نظام مجموعة جديد بدون إنشاء حسابات محلية
إنشاء نظام مجموعة AKS جديد دون أي حسابات محلية
az aks createباستخدام الأمر مع العلامةdisable-local-accounts.az aks create --resource-group <resource-group> --name <cluster-name> --enable-aad --aad-admin-group-object-ids <aad-group-id> --disable-local-accountsفي الإخراج، تأكد من تعطيل الحسابات المحلية عن طريق التحقق من تعيين الحقل
properties.disableLocalAccountsإلىtrue."properties": { ... "disableLocalAccounts": true, ... }az aks get-credentialsقم بتشغيل الأمر للتأكد من تعيين نظام المجموعة لتعطيل الحسابات المحلية.az aks get-credentials --resource-group <resource-group> --name <cluster-name> --adminيجب أن يظهر الإخراج رسالة الخطأ التالية التي تشير إلى أن الميزة تمنع الوصول:
Operation failed with status: 'Bad Request'. Details: Getting static credential isn't allowed because this cluster is set to disable local accounts.
تعطيل الحسابات المحلية على نظام المجموعة الحالي
تعطيل الحسابات المحلية على مجموعة AKS الممكنة لتكامل Microsoft Entra موجود باستخدام
az aks updateالأمر مع المعلمةdisable-local-accounts.az aks update --resource-group <resource-group> --name <cluster-name> --disable-local-accountsفي الإخراج، تأكد من تعطيل الحسابات المحلية عن طريق التحقق من تعيين الحقل
properties.disableLocalAccountsإلىtrue."properties": { ... "disableLocalAccounts": true, ... }az aks get-credentialsقم بتشغيل الأمر للتأكد من تعيين نظام المجموعة لتعطيل الحسابات المحلية.az aks get-credentials --resource-group <resource-group> --name <cluster-name> --adminيجب أن يظهر الإخراج رسالة الخطأ التالية التي تشير إلى أن الميزة تمنع الوصول:
Operation failed with status: 'Bad Request'. Details: Getting static credential isn't allowed because this cluster is set to disable local accounts.
إعادة تمكين الحسابات المحلية على نظام المجموعة الحالي
أعد تمكين حساب محلي معطل على نظام مجموعة موجود باستخدام
az aks updateالأمر مع المعلمةenable-local-accounts.az aks update --resource-group <resource-group> --name <cluster-name> --enable-local-accountsفي الإخراج، تأكد من إعادة تمكين الحسابات المحلية عن طريق التحقق من تعيين الحقل
properties.disableLocalAccountsإلىfalse."properties": { ... "disableLocalAccounts": false, ... }az aks get-credentialsقم بتشغيل الأمر للتأكد من تعيين نظام المجموعة لتمكين الحسابات المحلية.az aks get-credentials --resource-group <resource-group> --name <cluster-name> --adminيجب أن يظهر الإخراج الرسالة التالية التي تشير إلى أنك قمت بتمكين الحسابات المحلية بنجاح على نظام المجموعة:
Merged "<cluster-name>-admin" as current context in C:\Users\<username>\.kube\config
الخطوات التالية
- تعرف على تكامل Azure RBAC لتخويل Kubernetes.