Sdílet prostřednictvím

Přehled identit a přístupu s podporou Azure Arc

  • Článek

Můžete ověřovat, autorizovat a řídit přístup ke clusterům Kubernetes s podporou Azure Arc. Toto téma obsahuje přehled možností, jak to udělat s clustery Kubernetes s podporou Arc.

Tento obrázek ukazuje způsoby použití těchto různých možností:

Diagram znázorňující různé možnosti ověřování, autorizace a řízení přístupu ke clusterům Kubernetes s podporou Arc

Pokud je to nejvhodnější pro vaše potřeby, můžete také použít propojení clusteru i Azure RBAC.

Možnosti připojení

Při plánování, jak se uživatelé budou ověřovat a přistupovat ke clusterům Kubernetes s podporou Arc, je prvním rozhodnutím, jestli chcete použít funkci připojení ke clusteru nebo ne.

Připojení ke clusteru

Funkce připojení ke clusteru Kubernetes s podporou Azure Arc poskytuje připojení ke clusteruapiserver. Toto připojení nevyžaduje povolení žádného příchozího portu v bráně firewall. Reverzní proxy agent spuštěný v clusteru může bezpečně spustit relaci se službou Azure Arc odchozím způsobem.

S připojením ke clusteru můžete ke clusterům s podporou Arc přistupovat buď v Rámci Azure, nebo z internetu. Tato funkce může pomoct povolit interaktivní ladění a scénáře řešení potíží. Připojení ke clusteru může také vyžadovat menší interakci s aktualizacemi, pokud jsou oprávnění potřebná pro nové uživatele. Všechny možnosti autorizace a ověřování popsané v tomto článku fungují s připojením ke clusteru.

Připojení ke clusteru se vyžaduje, pokud chcete použít vlastní umístění nebo zobrazit prostředky Kubernetes z webu Azure Portal.

Další informace najdete v tématu Použití připojení clusteru k zabezpečenému připojení ke clusterům Kubernetes s podporou Azure Arc.

Id Microsoft Entra a Azure RBAC bez připojení ke clusteru

Pokud nechcete používat připojení ke clusteru, můžete ověřovat a autorizovat uživatele, aby měli přístup k připojenému clusteru pomocí Microsoft Entra ID a řízení přístupu na základě role Azure (Azure RBAC). Pomocí Azure RBAC v Kubernetes s podporou Azure Arc můžete řídit přístup udělený uživatelům ve vašem tenantovi a spravovat přístup přímo z Azure pomocí známých funkcí identit Azure a přístupu. Můžete také nakonfigurovat role v oboru předplatného nebo skupiny prostředků a umožnit jim jejich zavedení do všech připojených clusterů v rámci tohoto oboru.

Azure RBAC podporuje podmíněný přístup, který umožňuje povolit přístup ke clusteru za běhu nebo omezit přístup ke schváleným klientům nebo zařízením.

Azure RBAC také podporuje přímý režim komunikace pomocí identit Microsoft Entra pro přístup k připojeným clusterům přímo z datacentra, místo aby všechna připojení procházela přes Azure.

Azure RBAC v Kubernetes s podporou Arc je aktuálně ve verzi Public Preview. Další informace najdete v tématu Použití Azure RBAC v clusterech Kubernetes s podporou Azure Arc.

Možnosti ověřování

Ověřování je proces ověření identity uživatele. Existují dvě možnosti ověřování v clusteru Kubernetes s podporou Arc: připojení clusteru a Azure RBAC.

Ověřování Microsoft Entra

Funkce Kubernetes s podporou Azure RBAC ve službě Arc umožňuje používat ID Microsoft Entra, abyste uživatelům ve vašem tenantovi Azure umožnili přístup k připojeným clusterům Kubernetes.

Můžete také použít ověřování Microsoft Entra s připojením ke clusteru. Další informace naleznete v tématu Microsoft Entra authentication option.

Ověřování tokenu služby

S připojením ke clusteru se můžete rozhodnout ověřit prostřednictvím účtů služeb.

Další informace najdete v tématu Možnosti ověřování tokenu účtu služby.

Možnosti autorizace

Autorizace uděluje ověřenému uživateli oprávnění k provádění zadaných akcí. S Kubernetes s podporou Azure Arc existují dvě možnosti autorizace, z nichž obě používají řízení přístupu na základě role (RBAC):

  • Řízení přístupu na základě role v Azure (Azure RBAC) používá k zajištění jemně odstupňované správy přístupu k prostředkům Azure ID Microsoft Entra a Azure Resource Manageru. To umožňuje využívat výhody přiřazení rolí Azure, jako jsou protokoly aktivit sledující všechny provedené změny, které se použijí s clustery Kubernetes s podporou Azure Arc.
  • Řízení přístupu na základě role Kubernetes (Kubernetes RBAC) umožňuje dynamicky konfigurovat zásady prostřednictvím rozhraní Kubernetes API tak, aby uživatelé, skupiny a účty služeb měli přístup jenom ke konkrétním prostředkům clusteru.

I když RBAC Kubernetes funguje jenom na prostředcích Kubernetes v rámci vašeho clusteru, Azure RBAC funguje na prostředcích v rámci vašeho předplatného Azure.

Autorizace Azure RBAC

Řízení přístupu na základě role v Azure (RBAC) je autorizační systém založený na Azure Resource Manageru a ID Microsoft Entra, které poskytuje jemně odstupňovanou správu přístupu k prostředkům Azure. Definice rolí v Azure RBAC popisují oprávnění, která se mají použít. Tyto role přiřadíte uživatelům nebo skupinám prostřednictvím přiřazení role pro konkrétní obor. Rozsah může být v celém předplatném nebo omezený na skupinu prostředků nebo na jednotlivé prostředky, jako je cluster Kubernetes.

Pokud používáte ověřování Microsoft Entra bez připojení ke clusteru, je autorizace Azure RBAC jedinou možností autorizace.

Pokud používáte připojení ke clusteru s ověřováním Microsoft Entra, máte možnost použít Azure RBAC pro připojení ke apiserver clusteru. Další informace naleznete v tématu Microsoft Entra authentication option.

Autorizace RBAC Kubernetes

Kubernetes RBAC poskytuje podrobné filtrování uživatelských akcí. Pomocí RBAC Kubernetes přiřadíte uživatelům nebo skupinám oprávnění vytvářet a upravovat prostředky nebo zobrazovat protokoly ze spuštěných úloh aplikace. Můžete vytvořit role pro definování oprávnění a pak tyto role přiřadit uživatelům pomocí vazeb rolí. Oprávnění mohou být vymezena na jeden obor názvů nebo v celém clusteru.

Pokud používáte připojení ke clusteru s možností ověřování tokenu účtu služby, musíte k zajištění připojení ke apiserver clusteru použít RBAC Kubernetes. Toto připojení nevyžaduje povolení žádného příchozího portu v bráně firewall. Reverzní proxy agent spuštěný v clusteru může bezpečně spustit relaci se službou Azure Arc odchozím způsobem.

Pokud používáte připojení ke clusteru s ověřováním Microsoft Entra, máte také možnost používat Kubernetes RBAC místo Azure RBAC.

Další kroky