Identitás- és hozzáférés-kezelési szempontok az AKS-hez
Ez a cikk tervezési szempontokat és javaslatokat tartalmaz az identitás- és hozzáférés-kezeléshez az Azure Kubernetes Service (AKS) használatakor. Az identitás- és hozzáférés-kezelésnek több aspektusa is van, beleértve a fürtidentitásokat, a számítási feladatok identitásait és az operátorok hozzáférését.
Kialakítási szempontok
- Döntse el, hogy melyik fürtidentitást (felügyelt identitást vagy szolgáltatásnevet) használja.
- Döntse el, hogyan hitelesítheti a fürthozzáférést: ügyféltanúsítványok vagy Microsoft Entra-azonosító alapján.
- Döntsön egy több-bérlős fürtről , és hogyan állítsa be a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetesben.
- Válasszon egy módszert az elkülönítéshez. A metódusok közé tartozik a névtér, a hálózati szabályzat (csak az Azure CNI által engedélyezett), a számítás (csomópontkészlet) és a fürt.
- Határozza meg a Kubernetes RBAC-szerepköröket és a számítási lefoglalást alkalmazáscsoportonként az elkülönítés érdekében.
- Döntse el, hogy az alkalmazáscsapatok olvashatnak-e más számítási feladatokat a fürtjükben vagy más fürtökben.
- Határozza meg az egyéni Azure RBAC-szerepkörök engedélyeit az AKS kezdőzónájához.
- Döntse el, hogy milyen engedélyekre van szükség a helymegerősítési mérnöki (SRE) szerepkörhöz ahhoz, hogy a szerepkör felügyelhesse és elháríthassa a teljes fürtöt.
- Döntse el, hogy milyen engedélyekre van szükség a SecOpshoz.
- Döntse el, hogy milyen engedélyekre van szükség a kezdőzóna tulajdonosához.
- Döntse el, hogy az alkalmazáscsapatnak milyen engedélyekre lesz szüksége a fürtben való üzembe helyezéshez.
- Döntse el, hogy szüksége van-e számítási feladatok identitására (Microsoft Entra Számítási feladat ID). Szükség lehet rájuk olyan szolgáltatásokhoz, mint az Azure Key Vault integrációja és az Azure Cosmos DB.
Tervezési javaslatok
- Fürtidentitások.
- Használja a saját felügyelt identitását az AKS-fürthöz.
- Egyéni Azure RBAC-szerepkörök definiálása az AKS kezdőzónájához a fürt által felügyelt identitáshoz szükséges engedélyek felügyeletének egyszerűsítése érdekében.
- Fürthozzáférés.
- A Kubernetes RBAC és a Microsoft Entra ID használatával korlátozhatja a jogosultságokat , és minimalizálhatja a rendszergazdai jogosultságokat. Ez segít megvédeni a konfigurációt és a titkos kulcsokhoz való hozzáférést.
- Használja az AKS által felügyelt Microsoft Entra-integrációt , hogy a Microsoft Entra ID-t használhassa a hitelesítéshez, az operátorokhoz és a fejlesztői hozzáféréshez.
- Definiálja a szükséges RBAC-szerepköröket és szerepkör-kötéseket a Kubernetesben.
- Kubernetes-szerepkörök és szerepkörkötések használata a Microsoft Entra-csoportokhoz a webhely-megbízhatósági tervezéshez (SRE), a SecOpshoz és a fejlesztői hozzáféréshez.
- Fontolja meg az Azure RBAC kuberneteshez való használatát, amely egységes felügyeletet és hozzáférés-vezérlést tesz lehetővé az Azure-erőforrások, az AKS és a Kubernetes-erőforrások között. Ha az Azure RBAC for Kubernetes engedélyezve van, nem kell külön kezelnie a Kubernetes felhasználói identitásait és hitelesítő adatait. A Microsoft Entra-tagokat kizárólag az Azure RBAC érvényesíti, de a kubernetes rendszeres felhasználóit és szolgáltatásfiókjait kizárólag a Kubernetes RBAC érvényesíti.
- Igény szerint adjon teljes hozzáférést az SRE-nek.
- A Privileged Identity Management használata a Microsoft Entra-azonosítóban , valamint az identitás- és hozzáférés-kezelésben az Azure-beli kezdőzónákban.
- Használja Microsoft Entra Számítási feladat ID a Kuberneteshez. Az összevonás megvalósításakor a fejlesztők natív Kubernetes-szolgáltatásfiókokkal és összevonásokkal férhetnek hozzá a Microsoft Entra ID által felügyelt erőforrásokhoz, például az Azure-hoz és a Microsoft Graphhoz.