Získání zabezpečeného přístupu k prostředkům Azure ve službě Azure Kubernetes Service pomocí důvěryhodného přístupu

  • Článek

Řada služeb Azure, které se integrují se službou Azure Kubernetes Service (AKS), potřebují přístup k serveru rozhraní API Kubernetes. Abyste se vyhnuli udělení přístupu správcům těchto služeb nebo zpřístupnění clusterů AKS pro přístup k síti, můžete použít funkci důvěryhodného přístupu AKS.

Tato funkce poskytuje službám zabezpečený přístup k serveru rozhraní API AKS pomocí back-endu Azure bez nutnosti privátního koncového bodu. Místo toho, abyste se museli spoléhat na identity, které mají oprávnění Microsoft Entra , může tato funkce použít spravovanou identitu přiřazenou systémem k ověřování pomocí spravovaných služeb a aplikací, které chcete používat s clustery AKS.

Tento článek ukazuje, jak získat zabezpečený přístup ke službám Azure k serveru rozhraní API Kubernetes v AKS pomocí důvěryhodného přístupu.

Poznámka:

Rozhraní API důvěryhodného přístupu je obecně dostupné. Poskytujeme podporu obecné dostupnosti (GA) pro Azure CLI, ale je stále ve verzi Preview a vyžaduje použití rozšíření aks-Preview.

Přehled funkcí důvěryhodného přístupu

Důvěryhodný přístup řeší následující scénáře:

  • Pokud je autorizovaný rozsah IP adres nastavený nebo v privátním clusteru, nemusí mít služby Azure přístup k serveru rozhraní API Kubernetes, pokud neimplementujete model přístupu privátního koncového bodu.

  • Poskytnutí přístupu správce služby Azure k rozhraní Kubernetes API nedodržuje osvědčený postup přístupu s nejnižšími oprávněními a může vést k eskalaci oprávnění nebo riziku úniku přihlašovacích údajů. Možná budete muset například implementovat oprávnění mezi službami s vysokou úrovní oprávnění a nejsou ideální v kontrole auditu.

Důvěryhodný přístup můžete použít k udělení výslovného souhlasu se spravovanou identitou přiřazenou systémem povolených prostředků pro přístup ke clusterům AKS pomocí prostředku Azure označovaného jako vazby role. Vaše prostředky Azure přistupují ke clusterům AKS prostřednictvím regionální brány AKS prostřednictvím ověřování spravované identity přiřazené systémem. Příslušná oprávnění Kubernetes se přiřazují prostřednictvím prostředku Azure označovaného jako role. Prostřednictvím důvěryhodného přístupu můžete přistupovat ke clusterům AKS s různými konfiguracemi, mezi které patří mimo jiné privátní clustery, clustery, které mají vypnuté místní účty, clustery Microsoft Entra a autorizované clustery rozsahu IP adres.

Požadavky

Vytvoření clusteru AKS

Ve stejném předplatném jako prostředek Azure, ke kterému chcete získat přístup ke clusteru, vytvořte cluster AKS.

Vyberte požadované role důvěryhodného přístupu.

Vybrané role závisí na službách Azure, ke kterým chcete získat přístup ke clusteru AKS. Služby Azure pomáhají vytvářet role a vazby rolí, které vytvářejí připojení ze služby Azure ke službě AKS.

Vytvoření vazby role důvěryhodného přístupu

Jakmile potvrdíte, kterou roli použít, pomocí Azure CLI vytvořte vazbu role důvěryhodného přístupu v clusteru AKS. Vazba role přidruží vybranou roli ke službě Azure.

# Create a Trusted Access role binding in an AKS cluster

az aks trustedaccess rolebinding create  --resource-group <AKS resource group> --cluster-name <AKS cluster name> -n <role binding name> -s <connected service resource ID> --roles <roleName1, roleName2>

Tady je příklad:

# Sample command

az aks trustedaccess rolebinding create \
-g myResourceGroup \
--cluster-name myAKSCluster -n test-binding \
--source-resource-id /subscriptions/000-000-000-000-000/resourceGroups/myResourceGroup/providers/Microsoft.MachineLearningServices/workspaces/MyMachineLearning \
--roles Microsoft.Compute/virtualMachineScaleSets/test-node-reader,Microsoft.Compute/virtualMachineScaleSets/test-admin

Aktualizace existující vazby role důvěryhodného přístupu

Pro existující vazbu role, která má přidruženou zdrojovou službu, můžete aktualizovat vazbu role novými rolemi.

Poznámka:

Správce doplňků aktualizuje clustery každých pět minut, takže může trvat až pět minut, než se nová vazba role projeví. Než se nová vazba role projeví, stávající vazba role stále funguje.

Můžete použít az aks trusted access rolebinding list --name <role binding name> --resource-group <resource group> ke kontrole aktuální vazby role.

# Update the RoleBinding command

az aks trustedaccess rolebinding update --resource-group <AKS resource group> --cluster-name <AKS cluster name> -n <existing role binding name>  --roles <newRoleName1, newRoleName2>

Tady je příklad:

# Update the RoleBinding command with sample resource group, cluster, and roles

az aks trustedaccess rolebinding update \
--resource-group myResourceGroup \
--cluster-name myAKSCluster -n test-binding \
--roles Microsoft.Compute/virtualMachineScaleSets/test-node-reader,Microsoft.Compute/virtualMachineScaleSets/test-admin

Zobrazení vazby role důvěryhodného přístupu

Pomocí příkazu zobrazte určitou vazbu role důvěryhodného az aks trustedaccess rolebinding show přístupu:

az aks trustedaccess rolebinding show --name <role binding name> --resource-group <AKS resource group> --cluster-name <AKS cluster name>

Zobrazení seznamu všech vazeb rolí důvěryhodného přístupu pro cluster

Pomocí příkazu vypíšete všechny vazby rolí důvěryhodného přístupu pro cluster az aks trustedaccess rolebinding list :

az aks trustedaccess rolebinding list --resource-group <AKS resource group> --cluster-name <AKS cluster name>

Odstranění vazby role důvěryhodného přístupu pro cluster

Upozorňující

Odstranění existující vazby role důvěryhodného přístupu odpojí službu Azure od clusteru AKS.

Pomocí příkazu odstraňte existující vazbu az aks trustedaccess rolebinding delete role důvěryhodného přístupu:

az aks trustedaccess rolebinding delete --name <role binding name> --resource-group <AKS resource group> --cluster-name <AKS cluster name>

Související obsah