Kapsayıcı içgörülerinde Canlı Verileri yapılandırma

Azure Kubernetes Service (AKS) kümelerinden Kapsayıcı içgörüleri ile canlı verileri görüntülemek için, kimlik doğrulamasını Kubernetes verilerinize erişim izni vermek üzere yapılandırın. Bu güvenlik yapılandırması, doğrudan Azure portalında Kubernetes API'sini kullanarak verilerinize gerçek zamanlı erişim sağlar.

Bu özellik günlüklere, olaylara ve ölçümlere erişimi denetlemek için aşağıdaki yöntemleri destekler:

• Kubernetes rol tabanlı erişim denetimi (RBAC) yetkilendirmesi etkin olmayan AKS
• Aks, Kubernetes RBAC yetkilendirmesi ile etkinleştirildi
  • Küme rolü bağlama kümesiyle yapılandırılan AKSMonitoringUser
• AKS, Microsoft Entra SAML tabanlı çoklu oturum açma özelliğiyle etkinleştirildi

Bu yönergeler Kubernetes kümenize yönetici erişimi gerektirir. Kullanıcı kimlik doğrulaması için Microsoft Entra Id kullanacak şekilde yapılandırıyorsanız, Microsoft Entra Id'ye yönetici erişimine de ihtiyacınız vardır.

Bu makalede, kümeden Canlı Veri özelliğine erişimi denetlemek için kimlik doğrulamasını yapılandırma açıklanmaktadır:

• Kubernetes RBAC özellikli AKS kümesi
• Microsoft Entra tümleşik AKS kümesi

Kimlik doğrulaması modeli

Canlı Veri özelliği, komut satırı aracıyla aynı olan Kubernetes API'sini kubectl kullanır. Kubernetes API uç noktaları, tarayıcınızın doğrulayamadığı otomatik olarak imzalanan bir sertifika kullanır. Bu özellik, sertifikayı AKS hizmetiyle doğrulamak için bir iç ara sunucu kullanarak trafiğe güvenildiğinden emin olun.

Azure portalı bir Microsoft Entra ID kümesi için oturum açma kimlik bilgilerinizi doğrulamanızı ister. Sizi küme oluşturma sırasında istemci kaydı kurulumuna yönlendirir (ve bu makalede yeniden yapılandırılır). Bu davranış, tarafından kubectlgereken kimlik doğrulama işlemine benzer.

Dekont

Kümenizin yetkilendirmesi Kubernetes ve yapılandırıldığı güvenlik modeli tarafından yönetilir. Bu özelliğe erişen kullanıcılar, çalıştırmaya az aks get-credentials -n {your cluster name} -g {your resource group}benzer olan Kubernetes yapılandırmasını (kubeconfig) indirmek için izin gerektirir.

Bu yapılandırma dosyası, Azure RBAC etkinleştirilmiş ve Kubernetes RBAC yetkilendirmesi etkinleştirilmemiş AKS kümeleri söz konusu olduğunda Azure Kubernetes Hizmet Kümesi Kullanıcı Rolü için yetkilendirme ve kimlik doğrulama belirtecini içerir. AKS, Microsoft Entra SAML tabanlı çoklu oturum açma özelliğiyle etkinleştirildiğinde Microsoft Entra Kimliği ve istemci kayıt ayrıntıları hakkında bilgi içerir.

Bu özelliğin kullanıcıları, bu özelliği indirmek ve kullanmak için kümeye erişmek için Azure Kubernetes Kümesi Kullanıcı Rolü'nekubeconfig ihtiyaç duyar. Kullanıcıların bu özelliği kullanabilmesi için kümeye katkıda bulunan erişimi gerekmez.

Kubernetes RBAC özellikli kümelerle clusterMonitoringUser kullanma

Kubernetes RBAC yetkilendirmesini etkinleştirdikten sonra Kubernetes kullanıcı rolü bağlama kümesiKullanıcı canlı veri özelliğine erişim izni vermek için daha fazla yapılandırma değişikliği uygulama gereksinimini ortadan kaldırmak için AKS, clusterMonitoringUser adlı yeni bir Kubernetes küme rolü bağlaması eklemiştir. Bu küme rolü bağlaması, Kubernetes API'sine ve Canlı Veri özelliğini kullanmak için uç noktalara erişmek için gerekli tüm izinlere sahiptir.

Canlı Veri özelliğini bu yeni kullanıcıyla kullanmak için AKS kümesi kaynağında Azure Kubernetes Hizmet Kümesi Kullanıcısı veya Katkıda Bulunan rolünün üyesi olmanız gerekir. Kapsayıcı içgörüleri etkinleştirildiğinde, varsayılan olarak kullanılarak clusterMonitoringUser kimlik doğrulaması için yapılandırılır. clusterMonitoringUser Rol bağlaması bir kümede yoksa, bunun yerine kimlik doğrulaması için clusterUser kullanılır. Katkıda bulunan size (varsa) erişim clusterMonitoringUser verir ve Azure Kubernetes Service Cluster User size clusterUser erişimi verir. Bu iki rolden herhangi biri bu özelliği kullanmak için yeterli erişim sağlar.

AKS bu yeni rol bağlamayı Ocak 2020'de yayımladı, dolayısıyla Ocak 2020'ye kadar oluşturulan kümelerde bu bağlama yoktur. Ocak 2020'ye kadar oluşturulmuş bir kümeniz varsa yeni clusterMonitoringUser, kümede put işlemi gerçekleştirilerek mevcut kümeye eklenebilir. Ya da kümede, küme sürümünü güncelleştirme gibi kümede PUT işlemi gerçekleştiren başka bir işlem de gerçekleştirebilirsiniz.

Kubernetes RBAC etkinleştirilmemiş Kubernetes kümesi

Kubernetes RBAC yetkilendirmesiyle yapılandırılmamış veya Microsoft Entra çoklu oturum açma ile tümleşik bir Kubernetes kümeniz varsa bu adımları izlemeniz gerekmez. RBAC olmayan bir yapılandırmada varsayılan olarak yönetici izinleriniz zaten vardır.

Kubernetes RBAC yetkilendirmeyi yapılandırma

Kubernetes RBAC yetkilendirmesini etkinleştirdiğinizde, Kubernetes API'sine erişmek için clusterUser ve cluster Yönetici kullanılır. Bu yapılandırma, yönetim seçeneği olmadan çalışmaya az aks get-credentials -n {cluster_name} -g {rg_name} benzer. Bu nedenle clusterUser'a Kubernetes API'sindeki uç noktalara erişim izni verilmesi gerekir.

Aşağıdaki örnek adımlar, bu YAML yapılandırma şablonundan küme rolü bağlamasını yapılandırmayı gösterir.

1. YAML dosyasını kopyalayıp yapıştırın ve LogReaderRBAC.yaml olarak kaydedin.

   apiVersion: rbac.authorization.k8s.io/v1
   kind: ClusterRole
   metadata:
      name: containerHealth-log-reader
   rules:
       - apiGroups: ["", "metrics.k8s.io", "extensions", "apps"]
         resources:
            - "pods/log"
            - "events"
            - "nodes"
            - "pods"
            - "deployments"
            - "replicasets"
         verbs: ["get", "list"]
   ---
   apiVersion: rbac.authorization.k8s.io/v1
   kind: ClusterRoleBinding
   metadata:
      name: containerHealth-read-logs-global
   roleRef:
      kind: ClusterRole
      name: containerHealth-log-reader
      apiGroup: rbac.authorization.k8s.io
   subjects:
   - kind: User
     name: clusterUser
     apiGroup: rbac.authorization.k8s.io
   

2. Yapılandırmanızı güncelleştirmek için komutunu kubectl apply -f LogReaderRBAC.yamlçalıştırın.

Dekont

LogReaderRBAC.yaml dosyasının önceki bir sürümünü kümenize uyguladıysanız, 1. adımda gösterilen yeni kodu kopyalayıp yapıştırarak güncelleştirin. Ardından 2. adımda gösterilen komutu çalıştırarak kümenize uygulayın.

Microsoft Entra tümleşik kimlik doğrulamayı yapılandırma

Kullanıcı kimlik doğrulaması için Microsoft Entra Id kullanacak şekilde yapılandırılmış bir AKS kümesi, bu özelliğe erişen kişinin oturum açma kimlik bilgilerini kullanır. Bu yapılandırmada, Microsoft Entra kimlik doğrulama belirtecinizi kullanarak aks kümesinde oturum açabilirsiniz.

Microsoft Entra istemci kaydı, Azure portalının yetkilendirme sayfalarını güvenilir bir yeniden yönlendirme URL'si olarak yeniden yönlendirmesine izin verecek şekilde yeniden yapılandırılmalıdır. Daha sonra Microsoft Entra Id'den kullanıcılara ClusterRoles ve ClusterRoleBindings aracılığıyla aynı Kubernetes API uç noktalarına doğrudan erişim verilir.

Kubernetes'te gelişmiş güvenlik kurulumu hakkında daha fazla bilgi için Kubernetes belgelerini gözden geçirin.

Dekont

Yeni bir Kubernetes RBAC özellikli küme oluşturuyorsanız bkz . Microsoft Entra Id'yi Azure Kubernetes Service ile tümleştirme ve Microsoft Entra kimlik doğrulamasını yapılandırma adımlarını izleme. İstemci uygulamasını oluşturma adımları sırasında, bu bölümdeki bir not, 3. adımda belirtilenlerle eşleşen Kapsayıcı içgörüleri için oluşturmanız gereken iki yeniden yönlendirme URL'sini vurgular.

İstemci kaydı yeniden yapılandırma

1. Azure portalında Microsoft Entra ID Uygulama kayıtları altında Microsoft Entra ID'de> Kubernetes kümenizin istemci kaydını bulun.

2. Sol bölmede Kimlik Doğrulaması'nı seçin.

3. Web uygulaması türleri olarak bu listeye iki yeniden yönlendirme URL'si ekleyin. İlk temel URL değeri olmalıdır https://afd.hosting.portal.azure.net/monitoring/Content/iframe/infrainsights.app/web/base-libs/auth/auth.html. İkinci temel URL değeri olmalıdır https://monitoring.hosting.portal.azure.net/monitoring/Content/iframe/infrainsights.app/web/base-libs/auth/auth.html.

   Dekont

   Bu özelliği 21Vianet tarafından sağlanan Microsoft Azure'da kullanıyorsanız, ilk temel URL değeri olmalıdır https://afd.hosting.azureportal.chinaloudapi.cn/monitoring/Content/iframe/infrainsights.app/web/base-libs/auth/auth.html. İkinci temel URL değeri olmalıdır https://monitoring.hosting.azureportal.chinaloudapi.cn/monitoring/Content/iframe/infrainsights.app/web/base-libs/auth/auth.html.

4. Yeniden yönlendirme URL'lerini kaydettikten sonra Örtük izin altında Erişim belirteçleri ve kimlik belirteçleri seçeneklerini belirleyin. Ardından yaptığınız değişiklikleri kaydedin.

Microsoft Entra Id ile kimlik doğrulamasını yalnızca yeni bir AKS kümesinin ilk dağıtımı sırasında çoklu oturum açma için yapılandırabilirsiniz. Zaten dağıtılmış bir AKS kümesi için çoklu oturum açmayı yapılandıramazsınız.

Önemli

Güncelleştirilmiş URI'yi kullanarak kullanıcı kimlik doğrulaması için Microsoft Entra Id'yi yeniden yapılandırdıysanız, güncelleştirilmiş kimlik doğrulama belirtecinin indirildiğinden ve uygulandığından emin olmak için tarayıcınızın önbelleğini temizleyin.

İzin ver

Her Microsoft Entra hesabına Canlı Veri özelliğine erişmek için Kubernetes'teki uygun API'ler için izin verilmelidir. Microsoft Entra hesabına verme adımları, Kubernetes RBAC kimlik doğrulaması bölümünde açıklanan adımlara benzer. YAML yapılandırma şablonunu kümenize uygulamadan önce ClusterRoleBinding altındaki clusterUser değerini istenen kullanıcıyla değiştirin.

Önemli

Kubernetes RBAC bağlamasını sağladığınız kullanıcı aynı Microsoft Entra kiracısındaysa, temelinde izinler atayın userPrincipalName. Kullanıcı farklı bir Microsoft Entra kiracısındaysa, özelliğini sorgulayıp objectId kullanın.

AKS kümenizi ClusterRoleBinding yapılandırma konusunda daha fazla yardım için bkz . Kubernetes RBAC bağlaması oluşturma.

Sonraki adımlar

Artık kimlik doğrulamayı ayarladığınıza göre, ölçümleri ve olayları ve günlükleri kümenizden gerçek zamanlı olarak görüntüleyebilirsiniz.