Řízení přístupu na základě role Kubernetes na zařízení Azure Stack Edge Pro GPU

  • Článek

PLATÍ PRO:Yes for Pro GPU SKU Azure Stack Edge Pro – GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

Když na zařízení Azure Stack Edge Pro nakonfigurujete výpočetní roli, vytvoří se cluster Kubernetes. Pomocí řízení přístupu na základě role Kubernetes (Kubernetes RBAC) můžete omezit přístup k prostředkům clusteru na vašem zařízení.

Tento článek obsahuje přehled o systému RBAC Kubernetes, který poskytuje Kubernetes, a o tom, jak je kubernetes RBAC implementovaný na vašem zařízení Azure Stack Edge Pro.

Kubernetes RBAC

Kubernetes RBAC umožňuje přiřazovat uživatele nebo skupiny uživatelů, oprávnění provádět akce, jako je vytváření nebo úpravy prostředků, nebo zobrazovat protokoly ze spuštěných úloh aplikace. Tato oprávnění mohou být vymezena na jeden obor názvů nebo udělena v celém clusteru.

Když nastavíte cluster Kubernetes, vytvoří se jeden uživatel odpovídající tomuto clusteru a nazývá se uživateli správce clusteru. Soubor kubeconfig je přidružený k uživateli správce clusteru. Soubor kubeconfig je textový soubor, který obsahuje všechny konfigurační informace potřebné pro připojení ke clusteru pro ověření uživatele.

Typy oborů názvů

Prostředky Kubernetes, jako jsou pody a nasazení, se logicky seskupují do oboru názvů. Tyto seskupení poskytují způsob, jak logicky rozdělit cluster Kubernetes a omezit přístup k vytváření, zobrazení nebo správě prostředků. Uživatelé můžou pracovat pouze s prostředky v jim přiřazených oborech názvů.

Obory názvů jsou určeny pro použití v prostředích s mnoha uživateli rozloženými do více týmů nebo projektů. Další informace najdete v tématu Obory názvů Kubernetes.

Vaše zařízení Azure Stack Edge Pro má následující obory názvů:

  • Systémový obor názvů – Tento obor názvů je místem, kde existují základní prostředky, jako jsou síťové funkce, jako jsou DNS a proxy server, nebo řídicí panel Kubernetes. V tomto oboru názvů se obvykle nenasazují vlastní aplikace. Pomocí tohoto oboru názvů můžete ladit všechny problémy s clusterem Kubernetes.

    Na vašem zařízení je několik systémových oborů názvů a názvy odpovídající těmto systémovým oborům názvů jsou vyhrazené. Tady je seznam vyhrazených systémových oborů názvů:

    • kube-system
    • metallb-system
    • dbe-namespace
    • default
    • Kubernetes-dashboard
    • kube-node-lease
    • kube-public

    Ujistěte se, že pro vytvořené obory názvů uživatelů nepoužívejte žádné rezervované názvy.

  • Obor názvů uživatele – Jedná se o obory názvů, které můžete vytvořit prostřednictvím kubectl nebo přes rozhraní PowerShellu zařízení k místnímu nasazení aplikací.

  • Obor názvů IoT Edge – K tomuto iotedge oboru názvů se připojíte, abyste mohli spravovat aplikace nasazené přes IoT Edge.

  • Obor názvů Azure Arc – K tomuto azure-arc oboru názvů se připojíte, abyste mohli spravovat aplikace nasazené přes Azure Arc. Pomocí Služby Azure Arc můžete také nasazovat aplikace v jiných oborech názvů uživatelů.

Obory názvů a uživatelé

Ve skutečném světě je důležité cluster rozdělit do několika oborů názvů.

  • Více uživatelů: Pokud máte více uživatelů, pak více oborů názvů umožní těmto uživatelům, aby nasadili své aplikace a služby v jejich konkrétních oborech názvů izolovaně od sebe.
  • Jeden uživatel: I když existuje jeden uživatel, více oborů názvů by uživateli umožnilo spouštět více verzí aplikací ve stejném clusteru Kubernetes.

Role a vazby rolí

Kubernetes má koncept vazby rolí a rolí, které umožňují udělit oprávnění uživatelům nebo prostředkům na úrovni oboru názvů a na úrovni clusteru.

  • Role: Můžete definovat oprávnění uživatelům jako roli a pak pomocí rolí udělit oprávnění v rámci oboru názvů.
  • Vazby rolí: Po definování rolí můžete pomocí vazby rolí přiřadit role pro daný obor názvů.

Tento přístup umožňuje logicky oddělit jeden cluster Kubernetes, přičemž uživatelé mají přístup pouze k prostředkům aplikace v přiřazeném oboru názvů.

Kubernetes RBAC ve službě Azure Stack Edge Pro

V aktuální implementaci RBAC Kubernetes vám Azure Stack Edge Pro umožňuje provádět následující akce z omezeného prostředí RunSpace PowerShellu:

  • Vytvořte obory názvů.
  • Vytvořte další uživatele.
  • Udělte správci přístup k vytvořeným oborům názvů. Mějte na paměti, že nebudete mít přístup k roli správce clusteru ani k zobrazení prostředků na úrovni clusteru.
  • Získejte kubeconfig soubor s informacemi pro přístup ke clusteru Kubernetes.

Zařízení Azure Stack Edge Pro má několik systémových oborů názvů a můžete vytvářet obory názvů uživatelů se kubeconfig soubory pro přístup k těmto oborům názvů. Uživatelé mají plnou kontrolu nad těmito obory názvů a mohou vytvářet nebo upravovat uživatele nebo udělovat uživatelům přístup. Úplný přístup k systémovým oborům názvů a prostředkům pro celý cluster má jenom správce clusteru. Přístup aseuser jen pro čtení k systémovým oborům názvů.

Tady je diagram, který znázorňuje implementaci RBAC Kubernetes na zařízení Azure Stack Edge Pro.

Kubernetes RBAC on Azure Stack Edge Pro device

V tomto diagramu mají Alice, Bob a Chuck přístup pouze k přiřazeným oborům názvů uživatelů, které v tomto případě jsou ns1, ns2a ns3 v uvedeném pořadí. V těchto oborech názvů mají přístup správce. Správce clusteru má na druhé straně přístup správce k systémovým oborům názvů a prostředkům na úrovni clusteru.

Jako uživatel můžete vytvářet obory názvů a uživatele, přiřazovat uživatele k oborům názvů nebo stahovat kubeconfig soubory. Podrobné pokyny najdete v části Přístup ke clusteru Kubernetes přes kuebctl ve službě Azure Stack Edge Pro.

Při práci s obory názvů a uživateli na zařízeních Azure Stack Edge Pro platí následující upozornění:

  • Nemáte oprávnění provádět žádné operace, jako je vytvoření uživatelů, udělení nebo odvolání přístupu k oboru názvů pro uživatele, pro některý ze systémových oborů názvů. Mezi příklady systémových oborů názvů patří kube-system, metallb-system, kubernetes-dashboard, default, kube-node-lease. kube-public Systémové obory názvů zahrnují také obory názvů vyhrazené pro typy nasazení, jako iotedge jsou (obor názvů IoT Edge) a azure-arc (obor názvů Azure Arc).
  • Můžete vytvářet obory názvů uživatelů a v těchto oborech názvů vytvářet další uživatele a udělovat nebo odvolat přístup k oboru názvů těmto uživatelům.
  • Nemáte povoleno vytvářet žádné obory názvů s názvy, které jsou identické s názvy pro jakýkoli systémový obor názvů. Názvy systémových oborů názvů jsou vyhrazeny.
  • Nemůžete vytvářet žádné obory názvů uživatelů s názvy, které už používají jiné obory názvů uživatelů. Pokud máte test-ns například vytvořený obor názvů, nemůžete vytvořit jiný test-ns obor názvů.
  • Nemůžete vytvářet uživatele s názvy, které jsou už rezervované. Je to například aseuser rezervovaný uživatel a nelze ho použít.

Další kroky

Informace o tom, jak můžete vytvořit uživatele, vytvořit obor názvů a udělit uživateli přístup k oboru názvů, najdete v tématu Přístup ke clusteru Kubernetes prostřednictvím kubectl.