Gerenciamento de identidades e acesso para Kubernetes habilitado para Azure Arc
O Kubernetes habilitado para Azure Arc dá suporte a ambientes locais e outros ambientes de nuvens integrados a diferentes sistemas de gerenciamento de identidades e acesso. Além do RBAC (controle de acesso baseado em função) do cluster do Kubernetes existente, o Kubernetes habilitado para Azure Arc dá suporte ao RBAC do Azure para unificar o gerenciamento de acesso entre clusters do Kubernetes e minimizar a sobrecarga operacional.
A combinação de modelos RBAC que sua organização deve usar depende das necessidades de uso da organização. Alguns exemplos são:
- Integrar um cluster do Kubernetes ao Azure Arc
- Gerenciar um cluster do Kubernetes habilitado para Arc
- Instalar extensões de cluster do Azure Arc
- Executar aplicativos em um cluster do Kubernetes habilitado para Arc
- Usar o RBAC do Azure para acessar recursos do Azure
Entender as necessidades da sua organização e os recursos do Kubernetes habilitado para Azure Arc permite que você escolha os melhores modelos de RBAC para os requisitos específicos de infraestrutura, segurança e governança, ao criar um cluster do Kubernetes habilitado para Arc.
Este artigo descreve a arquitetura, as considerações de design, as recomendações e os controles de acesso baseados em função de IAM (gerenciamento de identidades e acesso) do Kubernetes habilitado para Azure Arc em vários cenários.
Arquitetura
Para criar a arquitetura certa para sua organização, você precisa entender os modos de conectividade do Kubernetes habilitado para Arc. Há suporte para RBAC do Azure apenas no modo totalmente conectado, e não no modo semiconectado.
Azure RBAC no Kubernetes habilitado para Azure Arc
O diagrama a seguir mostra vários componentes do Kubernetes habilitado para Azure Arc e como eles interagem quando o RBAC do Azure é usado para gerenciar um cluster do Kubernetes.
Acessar com segurança o cluster do Kubernetes habilitado para o Azure Arc em qualquer lugar
O diagrama a seguir exibe o acesso do cluster do Kubernetes habilitado para Azure Arc em qualquer lugar e mostra como os componentes interagem entre si para gerenciar os clusters usando o RBAC do Azure.
Considerações sobre o design
Examine a área de design para gerenciamento de identidades e acesso das zonas de destino do Azure, para avaliar o efeito do Kubernetes habilitado para Azure Arc no modelo geral de identidade e acesso.
Para integração de clusters do Kubernetes:
- Decida entre o usuário do Microsoft Entra (para integração manual de cluster único) versus a entidade de serviço (para integração com script e sem periféricos de vários clusters) para integrar clusters do Kubernetes ao Azure Arc individualmente ou em escala. Para obter mais detalhes sobre implementação, veja a Área de design crítica para disciplinas de automação.
- A identidade da entidade de integração precisa ter o ClusterRoleBinding de administrador de cluster no cluster. Decida entre usar um usuário no local ou em outro provedor de identidade de nuvem ou usar uma conta de serviço do Kubernetes com a função administrador de cluster.
Para gerenciamento de clusters do Kubernetes:
- Como o Kubernetes habilitado para Azure Arc traz a autenticação do Microsoft Entra e o RBAC do Azure para ambientes locais ou outros ambientes do Kubernetes na nuvem, você deve decidir entre o gerenciamento de acesso existente do Kubernetes e o RBAC do Azure, dependendo dos requisitos de segurança e governança da sua organização.
- Determine se o Cluster Connect do Kubernetes habilitado para Azure Arc oferece flexibilidade para gerenciar o cluster do Kubernetes, sem que as portas de firewall de entrada sejam abertas para as redes locais ou outras redes de nuvem.
- Determine se o RBAC do Azure é a opção certa quando você tem muitos clusters do Kubernetes em execução no local e em outros ambientes de nuvem e você precisa simplificar a administração do cluster em todos os clusters do Kubernetes.
Recomendações de design
Para integração de clusters do Kubernetes:
- Use grupos de segurança do Microsoft Entra para conceder funções RBAC de cluster do Kubernetes habilitado para Azure Arc para integração e gerenciamento de clusters do Kubernetes habilitados para Azure Arc.
Para gerenciamento de clusters do Kubernetes:
Se suas identidades locais estiverem sincronizadas com a ID do Microsoft Entra, use as mesmas identidades ao usar o RBAC do Azure para gerenciamento de cluster.
Simplifique o gerenciamento de acesso criando grupos de segurança e mapeie-os para as funções do RBAC do Azure com suporte do Kubernetes habilitado para Azure Arc. Atribua permissões a esses grupos de segurança no nível do grupo de recursos ou da assinatura, de acordo com os requisitos de governança e organização de recursos. Para obter mais informações, confira a Área de design crítica para Organização de Recursos.
Observação
O Kubernetes habilitado para Azure Arc não dá suporte a usuários com mais de 200 associações de grupo de segurança e, em vez disso, gerará um erro de autenticação.
Evite a atribuição direta de usuários para funções RBAC do Azure, pois é difícil controlar o gerenciamento de acesso.
Descentralize e delegue atribuições de responsabilidade de gerenciamento de acesso e auditoria, atribuindo proprietários de grupos de segurança.
Habilite revisões periódicas de acesso na ID do Microsoft Entra para remover usuários que não precisam mais de acesso aos clusters do Kubernetes.
Crie políticas de acesso condicional ao usar o RBAC do Azure para gerenciamento de clusters, para impor várias condições para atender às políticas de segurança e governança.
Controles de acesso baseado em função
O Kubernetes habilitado para Azure Arc gerencia os clusters do Kubernetes usando o RBAC do Azure e dá suporte às seguintes funções para integração de clusters do Kubernetes ao Azure Arc.
| Função | Descrição |
|---|---|
| Função Usuário de Cluster do Kubernetes habilitado para Azure Arc | Permite buscar o arquivo kubeconfig baseado em Cluster Connect para gerenciar clusters em qualquer lugar. |
| Administrador do Kubernetes do Azure Arc | Permite gerenciar todos os recursos no cluster ou no namespace, exceto atualizar ou excluir as cotas de recursos e os namespaces. |
| Administrador do Cluster do Kubernetes do Azure Arc | Permite gerenciar todos os recursos no cluster. |
| Visualizador do Kubernetes do Azure Arc | Permite que você veja todos os recursos no cluster ou namespace, exceto os segredos. |
| Gravador do Kubernetes do Azure Arc | Permite que você atualize tudo no cluster ou namespace, exceto as funções (cluster) e associações de função (cluster). |
| Cluster do Kubernetes – Integração ao Azure Arc | A definição de função permite autorizar qualquer usuário/serviço a criar recursos de clusters conectados |
Próximas etapas
Para obter mais informações sobre o percurso de nuvem híbrida e multicloud, confira os seguintes artigos:
- Examine os pré-requisitos do Kubernetes habilitado para Azure Arc.
- Examine as distribuições validadas do Kubernetes para Kubernetes habilitado para Azure Arc.
- Examine Gerenciar ambientes híbridos e multicloud.
- Examine as políticas de acesso condicional comuns a serem aplicadas ao usar o RBAC do Azure para cluster do Kubernetes habilitado para Azure Arc.
- A organização de recursos pode ajudar a planejar e aplicar governança e segurança usando o RBAC do Azure.
- Saiba como integrar a ID do Microsoft Entra com clusters do Kubernetes habilitados para Azure Arc.
- Saiba como Acessar o cluster com segurança em qualquer lugar usando o Cluster Connect.
- Examine as Zonas de Destino do Azure – Área de design para gerenciamento de identidades e acesso do Azure.
- Examine a metodologia Cloud Adoption Framework – Controle de Acesso.
- Experimente cenários automatizados do Kubernetes habilitado para Azure Arc com o Azure Arc Jumpstart.
- Saiba mais sobre o Azure Arc por meio do roteiro de aprendizagem do Azure Arc.
- Examine as Perguntas frequentes – habilitado para Azure Arc, para encontrar as respostas às perguntas mais comuns.