Habilitar a autenticação do Microsoft Entra para clusters do Kubernetes
Aplica-se a: AKS no Azure Local, versão 23H2
O AKS habilitado pelo Azure Arc simplifica o processo de autenticação com a integração da ID do Microsoft Entra. Para autorização, os administradores de cluster podem configurar o RBAC (controle de acesso baseado em função) do Kubernetes ou o RBAC do Azure com base na associação do grupo de diretórios da integração da ID do Microsoft Entra.
A autenticação do Microsoft Entra é fornecida aos clusters do AKS Arc com o OpenID Connect. O OpenID Connect é uma camada de identidade compilada sobre o protocolo OAuth 2.0. Para obter mais informações sobre o OpenID Connect, consulte a documentação do OpenID Connect. Para obter mais informações sobre o fluxo de integração do Microsoft Entra, consulte a documentação do Microsoft Entra.
Este artigo descreve como habilitar e usar a autenticação de ID do Microsoft Entra para clusters do Kubernetes.
Antes de começar
- Essa configuração requer que você tenha um grupo do Microsoft Entra para o cluster. Este grupo é registrado como um grupo de administração no cluster para conceder permissões de administrador. Se você não tiver um grupo existente do Microsoft Entra, poderá criar um usando o comando
az ad group create. - Para criar ou atualizar um cluster do Kubernetes, você precisa da função Colaborador do Arc do Serviço de Kubernetes do Azure.
- Para acessar o cluster do Kubernetes diretamente usando o
az aksarc get-credentialscomando e baixar o arquivo kubeconfig, você precisa do Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action, que está incluído na permissão de função de usuário do cluster do Arc do Serviço de Kubernetes do Azure. - Depois que o grupo do Microsoft Entra estiver habilitado com acesso de administrador ao cluster do AKS, esse grupo do Microsoft Entra poderá interagir com clusters do Kubernetes. Você deve instalar o kubectl e o kubelogin.
- A integração não pode ser desabilitada depois de adicionada. Você ainda pode usar
az aksarc updatepara atualizar oaad-admin-group-object-idsse necessário.
Habilitar a autenticação do Microsoft Entra para o cluster do Kubernetes
Criar um novo cluster com a autenticação do Microsoft Entra
Crie um grupo de recursos do Azure usando o comando
az group create:az group create --name $resource_group --location centralusCrie um cluster do AKS Arc e habilite o
az aksarc createacesso de administrador para o grupo do Microsoft Entra usando o--aad-admin-group-object-idsparâmetro no comando:az aksarc create -n $aks_cluster_name -g $resource_group --custom-location $customlocationID --vnet-ids $logicnetId --aad-admin-group-object-ids $aadgroupID --generate-ssh-keys
Usar um cluster existente com autenticação do Microsoft Entra
Habilite a autenticação do Microsoft Entra no cluster do Kubernetes existente usando o --aad-admin-group-object-ids az aksarc update parâmetro no comando. Certifique-se de definir seu grupo de administradores para manter o acesso em seu cluster:
az aksarc update -n $aks_cluster_name -g $resource_group --aad-admin-group-object-ids $aadgroupID
Acessar o cluster habilitado para Microsoft Entra
Obtenha as credenciais de usuário para acessar o cluster usando o comando
az aksarc get-credentials. Você precisa da Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action, que está incluída na permissão de função de Usuário de Cluster do Arc do Serviço de Kubernetes do Azure:az aksarc get-credentials --resource-group $resource_group --name $aks_cluster_nameExiba os nós no cluster com o
kubectl get nodescomando e siga as instruções para entrar. Você precisa estar no grupo de ID do Microsoft Entra especificado com o cluster do AKS ao passar o--aad-admin-group-object-ids $aadgroupIDparâmetro:kubectl get nodes