Acesso de conexão de cluster a clusters Kubernetes habilitados para Azure Arc

O recurso de conexão de cluster Kubernetes habilitado para Arco do Azure fornece conectividade ao apiserver cluster sem exigir que nenhuma porta de entrada seja habilitada no firewall. Um agente de proxy reverso em execução no cluster pode iniciar com segurança uma sessão com o serviço Azure Arc de maneira de saída.

A conexão de cluster permite que os desenvolvedores acessem seus clusters de qualquer lugar para desenvolvimento e depuração interativos. Ele também permite que usuários e administradores de cluster acessem ou gerenciem seus clusters de qualquer lugar. Você pode até mesmo usar agentes/corredores hospedados do Azure Pipelines, Ações do GitHub ou qualquer outro serviço de CI/CD hospedado para implantar aplicativos em clusters locais, sem exigir agentes autohospedados.

Arquitetura

No lado do cluster, um agente de proxy reverso chamado clusterconnect-agent, implantado como parte do gráfico Helm do agente, faz chamadas de saída para o serviço Azure Arc para estabelecer a sessão.

Quando o usuário chama az connectedk8s proxy:

1. O binário de proxy do Azure Arc é baixado e girado como um processo na máquina cliente.
2. O proxy do Azure Arc busca um kubeconfig arquivo associado ao cluster Kubernetes habilitado para Azure Arc no qual o az connectedk8s proxy é invocado.
   • O proxy do Azure Arc usa o token de acesso do Azure do chamador e o nome da ID do Azure Resource Manager.
3. O kubeconfig arquivo, salvo na máquina pelo proxy do Azure Arc, aponta a URL do servidor para um ponto de extremidade no processo de proxy do Azure Arc.

Quando um usuário envia uma solicitação usando este kubeconfig arquivo:

1. O proxy do Azure Arc mapeia o ponto de extremidade que recebe a solicitação para o serviço Azure Arc.
2. Em seguida, o serviço Azure Arc encaminha a solicitação para a clusterconnect-agent execução no cluster.
3. O clusterconnect-agent passa a solicitação para o kube-aad-proxy componente, que executa a autenticação do Microsoft Entra na entidade chamadora.
4. Após a autenticação do Microsoft Entra, kube-aad-proxy usa a representação do usuário do Kubernetes para encaminhar a solicitação para o cluster apiserver.

Próximos passos

• Use nosso início rápido para conectar um cluster do Kubernetes ao Azure Arc.
• Aceda ao cluster de forma segura a partir de qualquer lugar utilizando a ligação ao cluster.