Povolení ověřování Microsoft Entra pro clustery Kubernetes

Platí pro: AKS v Azure Local, verze 23H2

Služba AKS povolená službou Azure Arc zjednodušuje proces ověřování s integrací Microsoft Entra ID. Kvůli autorizaci můžou správci clusteru nakonfigurovat řízení přístupu na základě role Kubernetes (Kubernetes RBAC) nebo řízení přístupu na základě role Azure (Azure RBAC) na základě členství ve skupině adresářů integrace Microsoft Entra ID.

Ověřování Microsoft Entra se poskytuje clusterům AKS Arc pomocí OpenID Connect. OpenID Connect je vrstva identit založená na protokolu OAuth 2.0. Další informace o openID Connect najdete v dokumentaci k OpenID Connect. Další informace o integračním toku Microsoft Entra najdete v dokumentaci k Microsoft Entra.

Tento článek popisuje, jak povolit a používat ověřování Microsoft Entra ID pro clustery Kubernetes.

Než začnete

• Tato konfigurace vyžaduje, abyste pro cluster měli skupinu Microsoft Entra. Tato skupina je v clusteru zaregistrovaná jako skupina pro správu, aby udělila oprávnění správce. Pokud nemáte existující skupinu Microsoft Entra, můžete ji vytvořit pomocí az ad group create příkazu.
• K vytvoření nebo aktualizaci clusteru Kubernetes potřebujete roli Přispěvatel arc služby Azure Kubernetes Service.
• Pokud chcete získat přístup ke clusteru Kubernetes přímo pomocí az aksarc get-credentials příkazu a stáhnout soubor kubeconfig, potřebujete microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action, která je součástí oprávnění role uživatele clusteru Azure Kubernetes Service Arc.
• Jakmile je vaše skupina Microsoft Entra povolená s přístupem správce ke clusteru AKS, může tato skupina Microsoft Entra pracovat s clustery Kubernetes. Musíte nainstalovat kubectl a kubelogin.
• Po přidání není možné integraci zakázat. Pokud je to potřeba, můžete ho aad-admin-group-object-ids dál az aksarc update aktualizovat.

Povolení ověřování Microsoft Entra pro cluster Kubernetes

Vytvoření nového clusteru s ověřováním Microsoft Entra

1. Pomocí příkazu vytvořte skupinu az group create prostředků Azure:

   az group create --name $resource_group --location centralus
   

2. Vytvořte cluster AKS Arc a povolte přístup správce pro vaši skupinu Microsoft Entra pomocí --aad-admin-group-object-ids parametru az aksarc create v příkazu:

   az aksarc create -n $aks_cluster_name -g $resource_group --custom-location $customlocationID --vnet-ids $logicnetId --aad-admin-group-object-ids $aadgroupID --generate-ssh-keys
   

Použití existujícího clusteru s ověřováním Microsoft Entra

Povolte ověřování Microsoft Entra ve stávajícím clusteru Kubernetes pomocí --aad-admin-group-object-ids parametru az aksarc update v příkazu. Nezapomeňte nastavit skupinu správců, aby si zachovala přístup v clusteru:

az aksarc update -n $aks_cluster_name -g $resource_group --aad-admin-group-object-ids $aadgroupID

Přístup ke clusteru s podporou Microsoft Entra

1. Pomocí příkazu získejte přihlašovací údaje uživatele pro přístup ke clusteru az aksarc get-credentials . Potřebujete akci Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action, která je součástí role uživatele clusteru Azure Kubernetes Service Arc:

   az aksarc get-credentials --resource-group $resource_group --name $aks_cluster_name
   

2. Pomocí příkazu zobrazte uzly v clusteru kubectl get nodes a postupujte podle pokynů pro přihlášení. Při předání parametru musíte být ve skupině Microsoft Entra ID zadanou pomocí clusteru --aad-admin-group-object-ids $aadgroupID AKS:

   kubectl get nodes
   

Další kroky

• Možnosti přístupu a identit pro AKS povolené službou Azure Arc
• Integrace Microsoft Entra s RBAC Kubernetes
• Použití řízení přístupu na základě role v Azure (RBAC) pro autorizaci Kubernetes