Сценарий корпоративного уровня управления удостоверениями и доступом для Azure Kubernetes Service (AKS)Identity and access management for Azure Kubernetes Service (AKS) enterprise-scale scenario

Вашей организации или компании необходимо разработать подходящие параметры безопасности для удовлетворения их требований.Your organization or enterprise needs to design suitable security settings to meet their requirements. Управление удостоверениями и доступом охватывает несколько аспектов, таких как удостоверения кластера, удостоверения рабочей нагрузки и доступ к операторам.Identity and access management covers multiple aspects like cluster identities, workload identities, and operator access.

Рекомендации по проектированиюDesign considerations

  • Решите, какое удостоверение кластера используется (управляемое удостоверение или субъект-служба).Decide what cluster identity is being used (managed identity or service principal).
  • Выбор способа проверки подлинности доступа к кластеру (на основе сертификатов или Azure Active Directory).Decide how to authenticate cluster access (certificate-based or Azure Active Directory).
  • Выберите кластер с несколькими клиентами и настройте управление доступом на основе ролей (RBAC) в Kubernetes.Decide on a multitenancy cluster and how to set up role-based access control (RBAC) in Kubernetes.
    • Выберите метод для изоляции (пространство имен, сетевая политика, вычисление (пул узлов) или кластер).Decide on a method for isolation (namespace, network policy, compute (node pool), or cluster).
    • Примите решение о ролях Kubernetes RBAC и распределении вычислений на уровне группы приложений для изоляции.Decide about Kubernetes RBAC roles and compute allocation per application team for isolation.
    • Решите, могут ли группы приложений считывать другие рабочие нагрузки в своем кластере или в других кластерах.Decide whether application teams can read other workloads in their cluster or in other clusters.
  • Определите пользовательские роли RBAC Azure для целевой зоны AKS.Decide about custom Azure RBAC roles for your AKS landing zone.
    • Определите, какие разрешения требуются для роли "Проектирование надежности сайта" (выполняются), чтобы администрировать или устранять неполадки в целом кластере.Decide what permissions are needed for the site reliability engineering (SRE) role to administer/troubleshoot the whole cluster.
    • Определите, какие разрешения требуются для SecOps.Decide what permissions are needed for SecOps.
    • Определите, какие разрешения необходимы для владельца целевой зоны.Decide what permissions are needed for the landing zone owner.
    • Определите, какие разрешения необходимы группам приложений для развертывания в кластере.Decide what permissions are needed for the application teams to deploy into the cluster.
  • Решите, требуются ли удостоверения рабочей нагрузки (удостоверения Pod Azure AD).Decide whether you need workload identities (Azure AD pod identities). Они могут потребоваться для служб Azure, таких как интеграция Azure Key Vault, Azure Cosmos DB и др.They might be needed for Azure services like Azure Key Vault integration, Azure Cosmos DB, and others.

Рекомендации по проектированиюDesign recommendations

  • Удостоверения кластераCluster identities
    • Используйте собственное управляемое удостоверение для кластера AKS.Use your own managed identity for your AKS cluster.
    • Определите пользовательские роли RBAC Azure для целевой зоны AKS, чтобы упростить управление необходимыми разрешениями для удостоверения, управляемого кластером.Define custom Azure RBAC roles for your AKS landing zone to simplify the management of required permissions for cluster-managed identity.
  • Доступ к кластеруCluster access
    • Используйте Kubernetes RBAC с Azure AD для ограничения привилегий и минимального предоставления прав администратора для защиты конфигурации и секретного доступа.Use Kubernetes RBAC with Azure AD to limit privileges and minimize granting administrator privileges to protect configuration and secrets access.
    • Используйте интеграцию Azure AD, управляемую AKS , чтобы использовать Azure AD для проверки подлинности и доступа к операторам и разработчикам.Use AKS-managed Azure AD integration to use Azure AD for authentication and operator and developer access.
  • Определите необходимые роли RBAC и привязки ролей в Kubernetes.Define required RBAC roles and role bindings in Kubernetes.