你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Red Hat OpenShift 的标识和访问管理注意事项
标识和访问管理是组织在部署 Azure Red Hat OpenShift 登陆区域加速器时安全设置的关键部分。 标识和访问管理包括群集标识、工作负荷标识和操作员访问权限等领域。
使用这些设计注意事项和建议创建标识和访问管理计划,以满足 Azure Red Hat OpenShift 部署中的组织要求。
设计注意事项
- 决定如何创建和管理服务主体以及 Azure Red Hat OpenShift 群集标识必须具有的权限:
- 创建服务主体并手动分配权限。
- 创建群集时自动创建服务主体并分配权限。
- 决定如何对群集访问进行身份验证:
- 客户端证书
- Microsoft Entra ID
- 决定多租户群集以及如何在 Azure Red Hat OpenShift 群集中设置基于角色的访问控制(RBAC)。
- 决定用于隔离的方法:Red Hat OpenShift 项目、网络策略或群集。
- 确定每个应用程序团队要隔离的 OpenShift 项目、项目角色、群集角色和计算分配。
- 确定应用程序团队是否可以在其群集中读取其他 OpenShift 项目。
- 确定 Azure Red Hat OpenShift 登陆区域的自定义 Azure RBAC 角色。
- 确定站点可靠性工程(SRE)角色需要哪些权限来管理和排查整个群集问题。
- 确定安全操作(SecOps)所需的权限。
- 确定登陆区域所有者所需的权限。
- 确定应用程序团队部署到群集所需的权限。
- 决定如何在群集中存储机密和敏感信息。 可以将机密和敏感信息存储为 Base64 编码的 Kubernetes 机密,或使用机密存储提供程序(例如 Azure 密钥库 Provider for Secrets Store CSI 驱动程序)。
设计建议
- “群集标识”
- 创建服务主体并为 Azure Red Hat OpenShift 登陆区域定义自定义 Azure RBAC 角色。 角色简化了管理 Azure Red Hat OpenShift 群集服务主体的权限的方式。
- 群集访问
- 配置 Microsoft Entra 集成 以使用 Microsoft Entra ID 对 Azure Red Hat OpenShift 群集中的用户进行身份验证。
- 定义 OpenShift 项目以限制 RBAC 特权并隔离群集中的工作负荷。
- 在 OpenShift 中定义限定为本地项目范围或群集范围的所需 RBAC 角色。
- 使用 Azure Red Hat OpenShift 创建绑定到 Microsoft Entra 组的角色绑定,以便进行 SRE、SecOps 和开发人员访问。
- 将 Azure Red Hat OpenShift 与 Microsoft Entra ID 配合使用来 限制用户权限,并最大程度地减少拥有管理员权限 的用户数。 限制用户权限可保护配置和机密访问。
- 仅根据需要和实时授予完全访问权限。 在 Azure 登陆区域中使用 Microsoft Entra ID 和标识和 访问管理中的 Privileged Identity Management。
- 群集工作负荷
- 对于需要访问敏感信息的应用程序,请使用服务主体和用于机密存储 CSI 驱动程序的 Azure 密钥库 提供程序将存储在 Azure 中的机密装载到 Pod 密钥库。