Hozzáférési és identitás-beállítások az Azure Kubernetes Service (AKS) szolgáltatáshoz

A Kubernetes-fürtökhöz való hozzáférést többféleképpen hitelesítheti, engedélyezheti, biztosíthatja és szabályozhatja.

  • A Kubernetes szerepköralapú hozzáférés-vezérlés (Kubernetes RBAC) használatával csak a szükséges erőforrásokhoz adhat hozzáférést a felhasználóknak, csoportoknak és szolgáltatásfiókoknak.
  • A Azure Kubernetes Service (AKS) segítségével tovább javíthatja a biztonság és az engedélyek struktúráját a Azure Active Directory és az Azure RBAC használatával.

A Kubernetes RBAC és az AKS segítségével biztonságossá teszi a fürthöz való hozzáférést, és csak a minimálisan szükséges engedélyeket biztosítja a fejlesztők és az operátorok számára.

Ez a cikk az AKS-hez szükséges engedélyek hitelesítését és hozzárendelését segítő alapvető fogalmakat mutat be.

Az AKS-szolgáltatás engedélyei

Fürt létrehozásakor az AKS létrehozza vagy módosítja a szükséges erőforrásokat (például virtuális gépeket és NIC-ket) a fürt létrehozásához és futtatásához a felhasználó nevében. Ez az identitás nem azonos a fürt identitásengedélyével, amely a fürt létrehozása során jön létre.

Identitás létrehozása és a fürtengedélyek üzemeltetése

A fürtöt létrehozására és üzemeltető identitásnak a következő engedélyekre van szüksége.

Engedély Ok
Microsoft.Compute/diskEncryptionSets/read A lemeztitkosítási készlet azonosítójának olvasásához szükséges.
Microsoft.Compute/proximityPlacementGroups/write Közelségi elhelyezési csoportok frissítéséhez szükséges.
Microsoft.Network/applicationGateways/read
Microsoft.Network/applicationGateways/write
Microsoft.Network/virtualNetworks/subnets/join/action
Az alkalmazásátjárók konfigurálásához és az alhálózathoz való csatlakozáshoz szükséges.
Microsoft.Network/virtualNetworks/subnets/join/action Az alhálózat hálózati biztonsági csoportjának egyéni virtuális hálózat használata esetén való konfigurálához szükséges.
Microsoft.Network/publicIPAddresses/join/action
Microsoft.Network/publicIPPrefixes/join/action
A kimenő nyilvános IP-k konfigurálásához szükséges a standard Load Balancer.
Microsoft.OperationalInsights/workspaces/sharedkeys/read
Microsoft.OperationalInsights/workspaces/read
Microsoft.OperationsManagement/solutions/write
Microsoft.OperationsManagement/solutions/read
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action
Log Analytics-munkaterületek létrehozásához és frissítéséhez, valamint tárolók Azure-monitorozásához szükséges.

AKS-fürtidentitás engedélyei

Az AKS-fürt identitása a következő engedélyeket használja, amely az AKS-fürthöz van társítva. Az engedélyeket az alábbi okokból használjuk:

Engedély Ok
Microsoft.ContainerService/managedClusters/*
A felhasználók létrehozásához és a fürt üzemeltetéséhez szükséges
Microsoft.Network/loadBalancers/delete
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write
A LoadBalancer-szolgáltatás terheléselosztásának konfigurálához szükséges.
Microsoft.Network/publicIPAddresses/delete
Microsoft.Network/publicIPAddresses/read
Microsoft.Network/publicIPAddresses/write
A LoadBalancer szolgáltatás nyilvános IP-ip-ének megkereséséhez és konfigurálásához szükséges.
Microsoft.Network/publicIPAddresses/join/action Nyilvános IP-k loadBalancer szolgáltatáshoz való konfigurálásához szükséges.
Microsoft.Network/networkSecurityGroups/read
Microsoft.Network/networkSecurityGroups/write
Egy LoadBalancer-szolgáltatás biztonsági szabályainak létrehozásához vagy törléséhez szükséges.
Microsoft.Compute/disks/delete
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/locations/DiskOperations/read
Az AzureDisks konfigurálásához szükséges.
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/listKeys/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/operations/read
Az AzureFile vagy az AzureDisk tárfiókok konfigurálához szükséges.
Microsoft.Network/routeTables/read
Microsoft.Network/routeTables/routes/delete
Microsoft.Network/routeTables/routes/read
Microsoft.Network/routeTables/routes/write
Microsoft.Network/routeTables/write
A csomópontok útválasztási táblázatai és útvonalai konfigurálására van szükség.
Microsoft.Compute/virtualMachines/read A VMAS virtuális gépekkel kapcsolatos információk, például zónák, tartalék tartomány, méret és adatlemezek kereséséhez szükséges.
Microsoft.Compute/virtualMachines/write Az AzureDisks virtuális géphez VMAS-ban való csatolásához szükséges.
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualmachines/instanceView/read
A virtuálisgép-méretezési csoportban lévő virtuális gépek (például zónák, tartalék tartomány, méret és adatlemezek) információinak kereséséhez szükséges.
Microsoft.Network/networkInterfaces/write Virtuális gép VMAS-ban való hozzáadásához szükséges egy terheléselosztási háttércímkészlethez.
Microsoft.Compute/virtualMachineScaleSets/write Virtuálisgép-méretezési csoport terheléselosztási háttércímkészlethez való hozzáadásához és egy virtuálisgép-méretezési csoport csomópontjainak horizontális felskálához szükséges.
Microsoft.Compute/virtualMachineScaleSets/virtualmachines/write Az AzureDisks csatolásához és egy virtuálisgép-méretezési készlet virtuális gépének a terheléselosztáshoz való hozzáadásához szükséges.
Microsoft.Network/networkInterfaces/read Belső IP-címek és terheléselosztási háttércímkészletek VMAS-ban lévő virtuális gépek kereséséhez szükséges.
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/networkInterfaces/read Belső IP-címek és terheléselosztási háttércímkészletek kereséséhez szükséges egy virtuálisgép-méretezési készletben lévő virtuális géphez.
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/networkInterfaces/ipconfigurations/publicipaddresses/read A virtuálisgép-méretezési készletben lévő virtuális gépek nyilvános IP-ip-ének megkereséhez szükséges.
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Annak ellenőrzéséhez szükséges, hogy létezik-e alhálózat a belső terheléselosztáshoz egy másik erőforráscsoportban.
Microsoft.Compute/snapshots/delete
Microsoft.Compute/snapshots/read
Microsoft.Compute/snapshots/write
Az AzureDisk pillanatkép-beállításainak konfigurálához szükséges.
Microsoft.Compute/locations/vmSizes/read
Microsoft.Compute/locations/operations/read
Az AzureDisk-kötetkorlátok megkereséhez szükséges a virtuális gépek méretének megkereséhez.

További fürtidentitási engedélyek

Ha adott attribútumokkal rendelkező fürtöt hoz létre, az alábbi további engedélyekre lesz szüksége a fürtidentitáshoz. Mivel ezek az engedélyek nincsenek automatikusan hozzárendelve, a létrehozásuk után hozzá kell adni őket a fürtidentitáshoz.

Engedély Ok
Microsoft.Network/networkSecurityGroups/write
Microsoft.Network/networkSecurityGroups/read
Kötelező, ha egy másik erőforráscsoportban hálózati biztonsági csoportot használ. A LoadBalancer szolgáltatás biztonsági szabályainak konfigurálához szükséges.
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/join/action
Kötelező, ha egy másik erőforráscsoportban, például egyéni virtuális hálózatban található alhálózatot használ.
Microsoft.Network/routeTables/routes/read
Microsoft.Network/routeTables/routes/write
Kötelező, ha egy másik erőforráscsoportban található útvonaltáblához társított alhálózatot használ, például egy egyéni útvonaltáblát használó egyéni VNET-et. Annak ellenőrzéséhez szükséges, hogy létezik-e már alhálózat a másik erőforráscsoportban található alhálózathoz.
Microsoft.Network/virtualNetworks/subnets/read Kötelező, ha egy másik erőforráscsoportban belső terheléselosztást használ. Annak ellenőrzéséhez szükséges, hogy létezik-e már alhálózat az erőforráscsoport belső terheléselosztásához.
Microsoft.Network/privatednszones/* Kötelező, ha privát DNS-zónát használ egy másik erőforráscsoportban, például egy egyéni privateDNSZone erőforráscsoportban.

AKS-csomópont elérése

Alapértelmezés szerint az AKS-hez nincs szükség csomópont-hozzáférésre. Egy adott összetevő kihasználása esetén a következő hozzáférés szükséges a csomóponthoz.

Access Ok
kubelet Ahhoz szükséges, hogy az ügyfél MSI-hozzáférést biztosítson az ACR-hez.
http app routing A "véletlenszerű név".aksapp.io.
container insights Ahhoz szükséges, hogy az ügyfél engedélyt adjon a Log Analytics-munkaterületnek.

A Kubernetes szerepköralapú hozzáférés-vezérlése (RBAC)

A Kubernetes RBAC a felhasználói műveletek részletes szűrését biztosítja. Ezzel a vezérlési mechanizmussal:

  • Felhasználókat vagy felhasználói csoportokat rendelhet hozzá az erőforrások létrehozásához és módosításához, illetve a futó alkalmazások számítási feladataiból származó naplók megtekintéséhez.
  • Az engedélyeket egyetlen névtérre vagy a teljes AKS-fürtre is lehet hatókörrel felbecsülni.
  • Szerepköröket hozhat létre az engedélyek meghatározásához, majd hozzárendelheti ezeket a szerepköröket a szerepkörkötésekkel rendelkező felhasználókhoz.

További információ: A Kubernetes RBAC-hitelesítés használata.

Szerepkörök és fürtszerepkepkák

Szerepkörök

Mielőtt engedélyeket rendelne a Kubernetes RBAC-t használó felhasználókhoz, a felhasználói engedélyeket szerepkörként kell meghatároznia. Engedélyek megadása egy névtéren belül szerepkörök használatával.

Megjegyzés

A Kubernetes-szerepkörök engedélyeket engedélyeznek; nem tagadják meg az engedélyeket.

Ha a teljes fürtre vagy egy adott névtéren kívüli fürterőforrásokra vonatkozó engedélyeket is meg kell adni, használhatja a ClusterRoles használhatja a következőt:.

ClusterRoles (Fürtiroles)

A ClusterRole a teljes fürt erőforrásaira vonatkozó engedélyeket biztosít és alkalmaz, nem pedig egy adott névtérre.

RoleBindings és ClusterRoleBindings

Miután definiálta az erőforrásokra vonatkozó engedélyek megadására vonatkozó szerepköröket, a Kubernetes RBAC-engedélyeket a RoleBinding szerepkörhöz kell rendelnie. Ha az AKS-fürt integrálható az Azure Active Directory (Azure AD)használatával, a RoleBindings engedélyeket ad az Azure AD-felhasználóknak a fürtön belüli műveletek végrehajtásához. Lásd: Fürterőforrásokhoz való hozzáférés szabályozása a Kubernetesszerepköralapú hozzáférés-vezérlése és identitások Azure Active Directory használatával.

RoleBindings (Szerepkörkötések)

Szerepkörök hozzárendelése felhasználókhoz egy adott névtérhez a RoleBindings használatával. A RoleBindings segítségével logikailag elkülöníthet egyetlen AKS-fürtöt, így a felhasználók csak a hozzárendelt névtér alkalmazás-erőforrásaihoz férhetnek hozzá.

A szerepkörök a teljes fürthöz vagy egy adott névtéren kívüli fürterőforrásokhoz való kötéséhez ehelyett a ClusterRoleBindings nevet használja.

ClusterRoleBinding

A ClusterRoleBinding használata esetén a szerepköröket felhasználókhoz köti, és a teljes fürt erőforrásaira alkalmazza, nem pedig egy adott névtérre. Ezzel a megközelítéssel hozzáférést adhat a rendszergazdáknak vagy a támogatási mérnököknek az AKS-fürt összes erőforrásához.

Megjegyzés

A Microsoft/AKS felhasználói jóváhagyással hajt végre fürtműveleteket egy beépített Kubernetes-szerepkör és beépített aks-service szerepkörkötés aks-service-rolebinding keretében.

Ez a szerepkör lehetővé teszi, hogy az AKS elhárítsa és diagnosztizálja a fürtproblémákat, de nem módosíthatja az engedélyeket, és nem hozhat létre szerepköröket vagy szerepkörkötéseket, illetve egyéb magas jogosultságú műveleteket. A szerepkör-hozzáférés csak az aktív támogatási jegyeken van engedélyezve igény szerinti (JIT) hozzáféréssel. További információ az AKS támogatási szabályzatairól.

Kubernetes-szolgáltatásfiókok

A szolgáltatásfiókok a Kubernetes egyik elsődleges felhasználótípusa. A Kubernetes API szolgáltatásfiókokat tart és kezel. A szolgáltatásfiók hitelesítő adatait a rendszer Kubernetes titkos kulcsként tárolja, így az arra jogosult podok az API-kiszolgálóval kommunikálhatnak. A legtöbb API-kérés hitelesítési jogkivonatot biztosít egy szolgáltatásfiókhoz vagy egy normál felhasználói fiókhoz.

A normál felhasználói fiókok hagyományosabb hozzáférést szolgáltatásokat és folyamatokat, de emberi rendszergazdáknak és fejlesztőknek is lehetővé teszik. Bár a Kubernetes nem biztosít identitáskezelési megoldást a normál felhasználói fiókok és jelszavak tárolására, külső identitáskezelési megoldásokat integrálhat a Kubernetesbe. AKS-fürtök esetén ez az integrált identitásmegoldás az Azure AD.

További információ a Kubernetes identitási lehetőségeiről: Kubernetes-hitelesítés.

Azure AD-integráció

Az AKS-fürt biztonságának növelése az Azure AD-integrációval. A vállalati identitáskezelés évtizedeiből álló Azure AD egy több-bérlős, felhőalapú címtár- és identitáskezelési szolgáltatás, amely egyesíti az alapvető címtárszolgáltatásokat, az alkalmazás-hozzáférés-kezelési és az identitásvédelmet. Az Azure AD-val helyszíni identitásokat integrálhat AKS-fürtökbe, így egyetlen forrást biztosít a fiókkezeléshez és a biztonsághoz.

Azure Active Directory AKS-fürtök integrációja

Az Azure AD-be integrált AKS-fürtök segítségével hozzáférést adhat a felhasználóknak vagy csoportoknak a Kubernetes-erőforrásokhoz egy névtérben vagy a fürtön belül.

  1. A konfigurációs kubectl környezet beszerzéséhez a felhasználó futtatja az az aks get-credentials parancsot.
  2. Amikor egy felhasználó kapcsolatba lép az AKS-fürtön az -ral, a rendszer arra kéri, hogy jelentkezzen be kubectl Az Azure AD-beli hitelesítő adataival.

Ez a megközelítés egyetlen forrást biztosít a felhasználói fiókok kezeléséhez és a jelszó hitelesítő adataihoz. A felhasználó csak a fürt rendszergazdája által meghatározott erőforrásokhoz férhet hozzá.

Az Azure AD-hitelesítés OpenID-kulcsokkal Csatlakozás. Az OpenID Csatlakozás az OAuth 2.0 protokollra épülő identitásréteg. Az OpenID-azonosítókról Csatlakozás az Open ID Connect dokumentációjában talál további információt. A Kubernetes-fürtön belül a webhook-jogkivonatok hitelesítése a hitelesítési jogkivonatok ellenőrzésére használható. A webhook-jogkivonatok hitelesítése az AKS-fürt részeként van konfigurálva és kezelhető.

Webhook és API-kiszolgáló

Webhook- és API-kiszolgálóhitelesítési folyamat

Ahogy a fenti ábrán látható, az API-kiszolgáló az AKS-webhook-kiszolgálót hívja meg, és a következő lépéseket végzi el:

  1. kubectl az Azure AD-ügyfélalkalmazással jelentkeztet be felhasználókat az OAuth 2.0eszközengedélyezési folyamatával.
  2. Az Azure AD access_token, id_token és refresh_token.
  3. A felhasználó kérést tesz a kubectl következőre: , access_token a következőből: kubeconfig .
  4. kubectl elküldi a access_token az API Servernek.
  5. Az API-kiszolgáló a hitelesítési webhook-kiszolgálóval van konfigurálva az ellenőrzés végrehajtásához.
  6. A hitelesítési webhook-kiszolgáló az Azure AD nyilvános aláírókulcsának ellenőrzéséhez JSON-webtoken, hogy az aláírás érvényes-e.
  7. A kiszolgálóalkalmazás a felhasználó által megadott hitelesítő adatokkal lekérdezi a bejelentkezett felhasználó csoporttagságait az MS Graph API-ból.
  8. A rendszer egy választ küld az API-kiszolgálónak olyan felhasználói adatokkal, mint a hozzáférési jogkivonat egyszerű felhasználóneve (UPN) jogcíme, valamint a felhasználó csoporttagságának az objektumazonosító alapján.
  9. Az API a Kubernetes-szerepkör/RoleBinding alapján hoz engedélyezési döntést.
  10. Az engedély után az API-kiszolgáló választ ad vissza a következőnek: kubectl .
  11. kubectl visszajelzést küld a felhasználónak.

Ismerje meg, hogyan integrálhatja az AKS-t az Azure AD-be az AKS által felügyelt Azure AD-integrációs útmutatóval.

Azure-beli szerepköralapú hozzáférés-vezérlés

Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) egy olyan engedélyezési rendszer, amely Azure Resource Manager, és részletes hozzáférés-vezérlést biztosít az Azure-erőforrásokhoz.

RBAC-rendszer Description
A Kubernetes szerepköralapú hozzáférés-vezérlése (RBAC) Az AKS-fürtön belüli Kubernetes-erőforrásokon való használatra tervezték.
Azure RBAC-vel Az Azure-előfizetésen belüli erőforrásokon való használatra tervezték.

Az Azure RBAC használatával létrehoz egy szerepkör-definíciót, amely felvázolja az alkalmazandó engedélyeket. Ezután hozzárendelheti ezt a szerepkör-definíciót egy felhasználóhoz vagy csoporthoz egy adott hatókör szerepkör-hozzárendelése révén. A hatókör lehet egyéni erőforrás, erőforráscsoport vagy az előfizetésen belül.

További információ: Mi az az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)?

Az AKS-fürt teljes működtetéséhez két hozzáférési szint szükséges:

Azure RBAC az AKS-erőforráshoz való hozzáféréshez

Az Azure RBAC segítségével részletes hozzáférést nyújthat a felhasználóknak (vagy identitások) az AKS-erőforrásokhoz egy vagy több előfizetésben. A fürt méretezéséhez és frissítéséhez például használhatja Azure Kubernetes Service Közreműködő szerepkört. Eközben egy másik, Azure Kubernetes Service fürt-rendszergazdai szerepkörsel rendelkező felhasználó csak a rendszergazda lekért engedélyével kubeconfig rendelkezik.

Másik lehetőségként általános közreműködői szerepkört is adhat a felhasználónak. Az általános közreműködői szerepkörben a felhasználók a fenti engedélyeket és minden lehetséges műveletet elvégeznek az AKS-erőforráson az engedélyek kezelése kivételével.

Az Azure RBAC használatával meghatározhatja a hozzáférést a Kubernetes konfigurációs fájlhoz az AKS-ban.

Azure RBAC Kubernetes-hitelesítéshez

Az Azure RBAC-integrációval az AKS egy Kubernetes-engedélyezési webhookkiszolgálót fog használni, így az Azure AD-be integrált Kubernetes-fürterőforrás-engedélyeket és -hozzárendeléseket azure-beli szerepkör-definíciók és szerepkör-hozzárendelések használatával kezelheti.

Azure RBAC a Kuberneteshez engedélyezési folyamat

Ahogy a fenti ábrán is látható, az Azure RBAC-integráció használata esetén a Kubernetes API felé minden kérés ugyanazt a hitelesítési folyamatot fogja követni, mint a Azure Active Directory integráció szakasza.

Ha a kérést érvénybe hozó identitás létezik az Azure AD-ban, az Azure a Kubernetes RBAC-val fog egy csapatban engedélyezni a kérést. Ha az identitás az Azure AD-n kívül található (pl. egy Kubernetes-szolgáltatásfiók), az engedélyezés a normál Kubernetes RBAC-re fog visszaesni.

Ebben a forgatókönyvben Azure RBAC-mechanizmusokat és API-kat használ a felhasználók beépített szerepkörének hozzárendeléséhez vagy egyéni szerepkörök létrehozásához, ahogyan a Kubernetes-szerepkörök esetében tenné.

Ezzel a funkcióval nem csupán engedélyeket adhat a felhasználóknak az AKS-erőforráshoz az előfizetések között, hanem konfigurálhatja a Kubernetes API-hozzáférést vezérlő egyes fürtökön belüli szerepkört és engedélyeket is. Megadhatja például a Azure Kubernetes Service RBAC Reader szerepkört az előfizetés hatókörében. A szerepkör címzettje az összes fürt összes Kubernetes-objektumát le tudja majd sorolni és le tudja szerezni azok módosítása nélkül.

Fontos

A funkció használata előtt engedélyeznie kell az Azure RBAC-t a Kubernetes-hitelesítéshez. További részletekért és részletes útmutatásért kövesse az Azure RBAC kubernetes-hitelesítéshez való használatát bemutató útmutatót.

Beépített szerepkörök

Az AKS az alábbi négy beépített szerepkört biztosítja. Hasonlóak a Kubernetes beépített szerepköreihez, néhány különbséggel, például a CRD-k támogatásával. Tekintse meg az egyes Beépített Azure-szerepköráltal engedélyezett műveletek teljes listáját.

Szerepkör Leírás
Azure Kubernetes Service RBAC-olvasó Csak olvasási hozzáférést biztosít a névtér legtöbb objektumának eléréséhez.
Nem engedélyezi a szerepkörök vagy szerepkörkötések megtekintését.
Nem engedélyezi a Secrets megtekintését. A tartalom olvasása hozzáférést biztosít a névtér hitelesítő adataihoz, ami lehetővé teszi az API-hozzáférést a névtérben bármelyikként (a jogosultságok Secrets ServiceAccount ServiceAccount eszkalálásának egyik formája).
Azure Kubernetes Service RBAC-író Olvasási/írási hozzáférést biztosít a névtér legtöbb objektumához.
Nem engedélyezi a szerepkörök vagy szerepkörkötések megtekintését vagy módosítását.
Lehetővé teszi a podok bármely ServiceAccount-ként való hozzáférését és futtatását a névtérben, így bármely ServiceAccount API-hozzáférési szintje elérhető a Secrets névtérben.
Azure Kubernetes Service RBAC-rendszergazda Engedélyezi a rendszergazdai hozzáférést, amely egy névtérben adható meg.
Olvasási/írási hozzáférést biztosít a névtér (vagy fürthatókör) legtöbb erőforrása számára, beleértve a szerepkörök és szerepkörkötések névtérben való létrehozására vonatkozó képességet is.
Nem engedélyezi az írási hozzáférést az erőforráskvótához vagy a névtérhez.
Azure Kubernetes Service RBAC-fürt rendszergazdája Lehetővé teszi, hogy a felügyelői hozzáférés bármilyen műveletet hajtson végre bármely erőforráson.
Teljes körű vezérlést biztosít a fürt összes erőforrása és az összes névtér felett.

Összefoglalás

A táblázatban gyorsan összefoglalhatja, hogyan hitelesíthetők a felhasználók a Kubernetesben, ha az Azure AD-integráció engedélyezve van. A felhasználó parancssorozata minden esetben a következő:

  1. Az az login Azure-beli hitelesítéshez futtassa a (futtatás) adatokat.
  2. A fürt hitelesítő adatainak letöltéséhez futtassa a az aks get-credentials következőt: .kube/config .
  3. kubectlFuttatassa a parancsokat.
    • Az első parancs böngészőalapú hitelesítést aktiválhat a fürtön való hitelesítéshez az alábbi táblázatban leírtak szerint.

A Azure Portal a következőt találja:

  • A második oszlopban hivatkozott szerepkör-engedély (Azure RBAC szerepkör-Access Control jelenik meg.
  • A Fürt rendszergazdája Azure AD-csoport a Konfiguráció lapon jelenik meg.
    • Paraméternévvel is megtalálható --aad-admin-group-object-ids az Azure CLI-ban.
Description Szerepkör megadása szükséges Fürt-rendszergazdai Azure AD-csoport(ak) A következő esetekben használja
Régi rendszergazdai bejelentkezés ügyfél-tanúsítvánnyal Azure Kubernetes rendszergazdai szerepkör. Ez a szerepkör lehetővé teszi a jelölővel való használatot, amely letölt egy örökölt az aks get-credentials --admin (nem Azure AD-alapú) fürt-rendszergazdai tanúsítványt a felhasználó .kube/config fájlába. Ez az "Azure Kubernetes rendszergazdai szerepkör" egyetlen célja. n.a. Ha véglegesen le van tiltva, mert nem rendelkezik hozzáféréssel a fürthöz hozzáféréssel rendelkező érvényes Azure AD-csoporthoz.
Azure AD manuális (fürt)RoleBindings használatával Azure Kubernetes felhasználói szerepkör. A "Felhasználó" szerepkör a az aks get-credentials jelző nélkül --admin használható. (Ez az "Azure Kubernetes felhasználói szerepkör" egyetlen célja.) Az eredmény egy Azure AD-kompatibilis fürtön egy üres bejegyzés letöltése a fájlba, amely elindítja a böngészőalapú hitelesítést, amikor a először .kube/config használja kubectl azt. A felhasználó nem tagjai ezeknek a csoportoknak. Mivel a felhasználó egyetlen fürtgazdai csoportban sem található meg, a jogosultságai teljes mértékben a fürt rendszergazdái által beállított RoleBindings vagy ClusterRoleBindings szerepkörcsoportokkal szabályozhatók. A (fürt)RoleBindings Azure AD-felhasználókat vagy Azure AD-csoportokat nevez meg sajátjukként. subjects Ha nincs ilyen kötés beállítva, a felhasználó nem tud parancsokat kubectl használni. Ha finomhangolt hozzáférés-vezérlést szeretne, és nem használja az Azure RBAC-t a Kubernetes-hitelesítéshez. Vegye figyelembe, hogy a kötéseket beállítja felhasználónak a táblázatban felsorolt módszerek egyikével kell bejelentkeznie.
Azure AD a rendszergazdai csoport tagja szerint Lásd fent A felhasználó tagja az itt felsorolt csoportok egyikének. Az AKS automatikusan létrehoz egy ClusterRoleBinding szerepkört, amely az összes felsorolt csoportot a cluster-admin Kubernetes-szerepkörhöz köti. Így az ezekben a csoportokban a felhasználók az összes kubectl parancsot a következőként futtatják: cluster-admin . Ha kényelmes módon szeretne teljes rendszergazdai jogosultságokat ad a felhasználóknak, és nem azure RBAC-t használ a Kubernetes-hitelesítéshez.
Azure AD És Azure RBAC a Kubernetes-hitelesítéshez Két szerepkör:
Először az Azure Kubernetes felhasználói szerepkörét (a fentiek szerint).
Másodszor, az egyik "Azure Kubernetes Service RBAC..." a fent felsorolt szerepköröket, vagy a saját egyéni alternatívát.
A Konfiguráció lap Rendszergazdai szerepkörök mezője irreleváns, ha az Azure RBAC for Kubernetes Authorization engedélyezve van. Azure RBAC-t használ a Kubernetes-hitelesítéshez. Ezzel a módszersel a RoleBindings vagy a ClusterRoleBindings beállítása nélkül is finomhangolhatja az irányítást.

Következő lépések

A Kubernetes és az AKS alapvető fogalmairól a következő cikkekben talál további információt: