Share via

Identitás- és hozzáférés-kezelési szempontok az AKS-hez

  • Cikk

Ez a cikk tervezési szempontokat és javaslatokat tartalmaz az identitás- és hozzáférés-kezeléshez az Azure Kubernetes Service (AKS) használatakor. Az identitás- és hozzáférés-kezelésnek több aspektusa is van, beleértve a fürtidentitásokat, a számítási feladatok identitásait és az operátorok hozzáférését.

Kialakítási szempontok

  • Döntse el, hogy melyik fürtidentitást (felügyelt identitást vagy szolgáltatásnevet) használja.
  • Döntse el, hogyan hitelesítheti a fürthozzáférést: ügyféltanúsítványok vagy Microsoft Entra-azonosító alapján.
  • Döntsön egy több-bérlős fürtről , és hogyan állítsa be a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetesben.
    • Válasszon egy módszert az elkülönítéshez. A metódusok közé tartozik a névtér, a hálózati szabályzat (csak az Azure CNI által engedélyezett), a számítás (csomópontkészlet) és a fürt.
    • Határozza meg a Kubernetes RBAC-szerepköröket és a számítási lefoglalást alkalmazáscsoportonként az elkülönítés érdekében.
    • Döntse el, hogy az alkalmazáscsapatok olvashatnak-e más számítási feladatokat a fürtjükben vagy más fürtökben.
  • Határozza meg az egyéni Azure RBAC-szerepkörök engedélyeit az AKS kezdőzónájához.
    • Döntse el, hogy milyen engedélyekre van szükség a helymegerősítési mérnöki (SRE) szerepkörhöz ahhoz, hogy a szerepkör felügyelhesse és elháríthassa a teljes fürtöt.
    • Döntse el, hogy milyen engedélyekre van szükség a SecOpshoz.
    • Döntse el, hogy milyen engedélyekre van szükség a kezdőzóna tulajdonosához.
    • Döntse el, hogy az alkalmazáscsapatnak milyen engedélyekre lesz szüksége a fürtben való üzembe helyezéshez.
  • Döntse el, hogy szüksége van-e számítási feladatok identitására (Microsoft Entra Számítási feladat ID). Szükség lehet rájuk olyan szolgáltatásokhoz, mint az Azure Key Vault integrációja és az Azure Cosmos DB.

Tervezési javaslatok

  • Fürtidentitások.
    • Használja a saját felügyelt identitását az AKS-fürthöz.
    • Egyéni Azure RBAC-szerepkörök definiálása az AKS kezdőzónájához a fürt által felügyelt identitáshoz szükséges engedélyek felügyeletének egyszerűsítése érdekében.
  • Fürthozzáférés.
    • A Kubernetes RBAC és a Microsoft Entra ID használatával korlátozhatja a jogosultságokat , és minimalizálhatja a rendszergazdai jogosultságokat. Ez segít megvédeni a konfigurációt és a titkos kulcsokhoz való hozzáférést.
    • Használja az AKS által felügyelt Microsoft Entra-integrációt , hogy a Microsoft Entra ID-t használhassa a hitelesítéshez, az operátorokhoz és a fejlesztői hozzáféréshez.
  • Definiálja a szükséges RBAC-szerepköröket és szerepkör-kötéseket a Kubernetesben.
    • Kubernetes-szerepkörök és szerepkörkötések használata a Microsoft Entra-csoportokhoz a webhely-megbízhatósági tervezéshez (SRE), a SecOpshoz és a fejlesztői hozzáféréshez.
    • Fontolja meg az Azure RBAC kuberneteshez való használatát, amely egységes felügyeletet és hozzáférés-vezérlést tesz lehetővé az Azure-erőforrások, az AKS és a Kubernetes-erőforrások között. Ha az Azure RBAC for Kubernetes engedélyezve van, nem kell külön kezelnie a Kubernetes felhasználói identitásait és hitelesítő adatait. A Microsoft Entra-tagokat kizárólag az Azure RBAC érvényesíti, de a kubernetes rendszeres felhasználóit és szolgáltatásfiókjait kizárólag a Kubernetes RBAC érvényesíti.
  • Igény szerint adjon teljes hozzáférést az SRE-nek.
  • Használja Microsoft Entra Számítási feladat ID a Kuberneteshez. Az összevonás megvalósításakor a fejlesztők natív Kubernetes-szolgáltatásfiókokkal és összevonásokkal férhetnek hozzá a Microsoft Entra ID által felügyelt erőforrásokhoz, például az Azure-hoz és a Microsoft Graphhoz.