Federace identit úloh v Kubernetes s podporou Azure Arc (Preview)
Softwarové úlohy spuštěné v clusterech Kubernetes potřebují identitu, aby bylo možné ověřovat a přistupovat k prostředkům nebo komunikovat s jinými službami. Pro softwarovou úlohu spuštěnou mimo Azure musíte použít přihlašovací údaje aplikace, jako je tajný klíč nebo certifikát, pro přístup k prostředkům, které jsou chráněné microsoftem Entra (jako je Azure Key Vault nebo Azure Blob Storage). Tyto přihlašovací údaje představují bezpečnostní riziko a musí se bezpečně ukládat a pravidelně obměňovat. Pokud vyprší platnost přihlašovacích údajů, riskujete také výpadek služby.
Federace identit úloh umožňuje nakonfigurovat spravovanou identitu přiřazenou uživatelem nebo registraci aplikace v Microsoft Entra ID tak, aby důvěřovala tokenům od externího zprostředkovatele identity (IDP), jako je Kubernetes. Spravovaná identita přiřazená uživatelem nebo registrace aplikace v Microsoft Entra ID se stane identitou pro softwarové úlohy spuštěné v clusterech Kubernetes s podporou Arc. Po vytvoření vztahu důvěryhodnosti může vaše úloha vyměnit důvěryhodné tokeny z clusterů Kubernetes s podporou Arc pro přístupové tokeny z platformy Microsoft Identity Platform. Vaše softwarová úloha používá tento přístupový token pro přístup k prostředkům chráněným microsoftem Entra. S federací identit úloh tak můžete eliminovat zatížení údržby ruční správy přihlašovacích údajů a eliminovat riziko úniku tajných kódů nebo vypršení platnosti certifikátů.
Důležité
Funkce federace identit úloh Azure Arc je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.
Jak identita úloh funguje s clustery Kubernetes s podporou Azure Arc
Podpora identit úloh pro Kubernetes s podporou služby Azure Arc používá projekci svazku tokenu účtu služby (tj. účet služby), aby pody úloh mohly používat identitu Kubernetes. Vystavil se token Kubernetes a federace OpenID Connect (OIDC) umožňuje aplikacím Kubernetes bezpečně přistupovat k prostředkům Azure pomocí Id Microsoft Entra založeného na účtech služby s poznámkami.
Cluster Kubernetes s podporou arc funguje jako vystavitel tokenu. Microsoft Entra ID používá OIDC ke zjišťování veřejných podpisových klíčů a ověření pravosti tokenu účtu služby před výměnou za token Microsoft Entra. Vaše úloha může vyměnit token účtu služby promítaný na jeho svazek pro token Microsoft Entra pomocí klientské knihovny Azure Identity nebo knihovny MICROSOFT Authentication Library (MSAL).
Následující tabulka uvádí požadované koncové body vystavitele OIDC pro ID úloh Microsoft Entra.
| Koncový bod | Popis |
|---|---|
{IssuerURL}/.well-known/openid-configuration |
Označuje se také jako dokument zjišťování OIDC. Obsahuje metadata o konfiguracích vystavitele. |
{IssuerURL}/openid/v1/jwks |
Obsahuje veřejné podpisové klíče, které Microsoft Entra ID používá k ověření pravosti tokenu účtu služby. |
Popisky a poznámky k účtům služby
ID úloh Microsoft Entra podporuje následující mapování související s účtem služby:
- 1:1: Účet služby odkazuje na objekt Microsoft Entra.
- N:1: Více účtů služeb odkazuje na stejný objekt Microsoft Entra.
- 1:N: Účet služby odkazuje na více objektů Microsoft Entra změnou poznámky ID klienta. Další informace najdete v tématu Postup federace více identit pomocí účtu služby Kubernetes.
Požadavky
Clustery Kubernetes s podporou Azure Arc podporují identitu úloh Microsoft Entra počínaje agentem verze 1.21.
Pokud chcete použít funkci identity úloh, musíte mít Azure CLI verze 2.64 nebo vyšší a az connectedk8s verzi 1.10.0 nebo vyšší. Před aktualizací verze az connectedk8s nezapomeňte aktualizovat verzi Azure CLI. Pokud používáte Azure Cloud Shell, nainstaluje se nejnovější verze Azure CLI.
ID úloh Microsoft Entra dobře funguje s Klientské knihovny Azure Identity nebo kolekce MSAL (Microsoft Authentication Library) společně s registrací aplikace. Vaše úloha může k bezproblémovému ověřování a přístupu ke cloudovým prostředkům Azure používat libovolnou z těchto knihoven.
Další informace o integraci s oblíbenými knihovnami najdete v tématu Použití ID úloh Microsoft Entra s AKS.
Aktuální omezení
Mějte na paměti následující aktuální omezení:
- Pro každou spravovanou identitu je možné nakonfigurovat maximálně 20 přihlašovacích údajů federované identity.
- Po počátečním přidání přihlašovacích údajů federální identity trvá jeho šíření několik sekund.
- Vytváření přihlašovacích údajů federované identity se u spravovaných identit přiřazených uživatelem v určitých oblastech nepodporuje.