Dela via

Aktivera Microsoft Entra-autentisering för Kubernetes-kluster

  • Artikel

Gäller för: AKS på Azure Local, version 23H2

AKS som aktiveras av Azure Arc förenklar autentiseringsprocessen med Microsoft Entra ID-integrering. För auktorisering kan klusteradministratörer konfigurera rollbaserad åtkomstkontroll för Kubernetes (Kubernetes RBAC) eller rollbaserad åtkomstkontroll i Azure (Azure RBAC) baserat på kataloggruppsmedlemskapet för Microsoft Entra ID-integreringen.

Microsoft Entra-autentisering tillhandahålls till AKS Arc-kluster med OpenID Connect. OpenID Connect är ett identitetslager som bygger på OAuth 2.0-protokollet. Mer information om OpenID Connect finns i OpenID Connect-dokumentationen. Mer information om Microsoft Entra-integreringsflödet finns i Microsoft Entra-dokumentationen.

I den här artikeln beskrivs hur du aktiverar och använder Microsoft Entra ID-autentisering för Kubernetes-kluster.

Innan du börjar

  • Den här konfigurationen kräver att du har en Microsoft Entra-grupp för klustret. Den här gruppen är registrerad som en administratörsgrupp i klustret för att bevilja administratörsbehörigheter. Om du inte har någon befintlig Microsoft Entra-grupp kan du skapa en med kommandot az ad group create .
  • Om du vill skapa eller uppdatera ett Kubernetes-kluster behöver du rollen Azure Kubernetes Service Arc-deltagare .
  • För att få åtkomst till Kubernetes-klustret direkt med az aksarc get-credentials kommandot och ladda ned kubeconfig-filen behöver du microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action, som ingår i behörigheten Azure Kubernetes Service Arc-klusteranvändare .
  • När din Microsoft Entra-grupp har aktiverats med administratörsåtkomst till ditt AKS-kluster kan den här Microsoft Entra-gruppen interagera med Kubernetes-kluster. Du måste installera kubectl och kubelogin.
  • Integrering kan inte inaktiveras när den har lagts till. Du kan fortfarande använda az aksarc update för att uppdatera om det aad-admin-group-object-ids behövs.

Aktivera Microsoft Entra-autentisering för Kubernetes-kluster

Skapa ett nytt kluster med Microsoft Entra-autentisering

  1. Skapa en Azure-resursgrupp med kommandot az group create :

    az group create --name $resource_group --location centralus

  2. Skapa ett AKS Arc-kluster och aktivera administratörsåtkomst för din Microsoft Entra-grupp med hjälp av parametern --aad-admin-group-object-ids az aksarc create i kommandot:

    az aksarc create -n $aks_cluster_name -g $resource_group --custom-location $customlocationID --vnet-ids $logicnetId --aad-admin-group-object-ids $aadgroupID --generate-ssh-keys

Använda ett befintligt kluster med Microsoft Entra-autentisering

Aktivera Microsoft Entra-autentisering i ditt befintliga Kubernetes-kluster med hjälp av parametern --aad-admin-group-object-ids az aksarc update i kommandot . Se till att ange att administratörsgruppen ska behålla åtkomsten till klustret:

az aksarc update -n $aks_cluster_name -g $resource_group --aad-admin-group-object-ids $aadgroupID

Få åtkomst till ditt Microsoft Entra-aktiverade kluster

  1. Hämta användarautentiseringsuppgifterna för att komma åt klustret med hjälp av az aksarc get-credentials kommandot . Du behöver åtgärden Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action, som ingår i behörigheten Azure Kubernetes Service Arc-klusteranvändare :

    az aksarc get-credentials --resource-group $resource_group --name $aks_cluster_name

  2. Visa noderna i klustret med kubectl get nodes kommandot och följ anvisningarna för att logga in. Du måste vara i den Microsoft Entra-ID-grupp som anges med AKS-klustret när du skickar parametern --aad-admin-group-object-ids $aadgroupID :

    kubectl get nodes

Nästa steg