Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Интеграция Microsoft Entra ID с кластером AKS позволяет использовать условный доступ для запросов «точно в срок» для управления доступом к кластеру. В этой статье показано, как включить условный доступ в кластерах AKS.
Замечание
Условный доступ Microsoft Entra содержит возможности Microsoft Entra ID P1, P2 или управления, требующие номера SKU уровня "Премиум" P2. Для получения дополнительной информации о лицензиях и SKU Microsoft Entra ID см. основы лицензирования Microsoft Entra ID Governance и руководство по ценообразованию.
Перед тем как начать
- Ознакомьтесь с интеграцией Microsoft Entra, управляемой AKS, для получения общих сведений и инструкций по настройке.
Использование условного доступа с идентификатором Microsoft Entra ID и AKS
- На портале Azure перейдите на страницу идентификатора Microsoft Entra и выберите корпоративные приложения.
- Выберитеновую>политикуусловного доступа>.
- Введите имя политики, например aks-policy.
- В разделе Назначения выберите Пользователи и группы. Выберите пользователей и группы, к которым вы хотите применить политику. В этом примере выберите ту же группу Microsoft Entra, которая имеет доступ администратора к кластеру.
- В разделе "Облачные приложения или действия">Включить, выберите Выбрать приложения. Найдите службу Azure Kubernetes и выберите Azure Kubernetes Service Microsoft Entra Server.
- В разделе "Управление доступом>Предоставление, выберите Предоставить доступ, Требовать, чтобы устройство было отмечено как соответствующее и Требовать все выбранные контроли.
- Подтвердите параметры, установите Включить политику на Вкл, а затем выберите Создать.
Убедитесь, что политика условного доступа успешно указана
После реализации политики условного доступа убедитесь, что она работает должным образом, получив доступ к кластеру AKS и проверив действие входа.
Получите учетные данные пользователя для доступа к кластеру
az aks get-credentialsс помощью команды.Назначьте значения необходимым переменным среды. Кластер AKS и группа ресурсов должны существовать.
export RANDOM_SUFFIX=$(head -c 3 /dev/urandom | xxd -p) export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX" export AKS_CLUSTER="myManagedCluster$RANDOM_SUFFIX"Скачайте учетные данные, необходимые для доступа к кластеру AKS.
az aks get-credentials --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --overwrite-existingСледуйте инструкциям для входа.
Просмотрите узлы в кластере
kubectl get nodesс помощью команды.kubectl get nodesРезультаты:
NAME STATUS ROLES AGE VERSION aks-nodepool1-xxxxx-vmss000000 Ready agent 3d2h v1.xx.x aks-nodepool1-xxxxx-vmss000001 Ready agent 3d2h v1.xx.xНа портале Azure перейдите к идентификатору Microsoft Entra и выберите Корпоративные приложения>Активность>Входы.
В столбце условного доступа должно появиться состояние успешности. Выберите событие и перейдите на вкладку условного доступа . Будет указана политика условного доступа.
Дальнейшие шаги
Дополнительные сведения см. в следующих статьях:
- Используйте kubelogin для доступа к функциям проверки подлинности Azure, которые недоступны в kubectl.
- Используйте привилегированное управление удостоверениями (PIM) для управления доступом к кластерам Службы Azure Kubernetes (AKS).
Совместная работа с нами на GitHub
Источник этого содержимого можно найти на GitHub, где также можно создавать и просматривать проблемы и запросы на вытягивание. Дополнительные сведения см. в нашем руководстве для участников.
Azure Kubernetes Service