Используйте идентификацию рабочих нагрузок в Microsoft Entra с Azure Kubernetes Service (AKS)

Рабочие нагрузки, развернутые в кластере AKS, требуют учетных данных приложения Microsoft Entra или управляемых удостоверений для доступа к защищенным ресурсам Microsoft Entra, таким как Azure Key Vault и Microsoft Graph. Microsoft Entra Workload ID интегрируется с возможностями, собственными для Kubernetes, для федерации с внешними поставщиками удостоверений, что позволяет назначать идентификаторы рабочим нагрузкам для проверки подлинности и доступа к другим службам и ресурсам.

Идентификатор рабочей нагрузки Microsoft Entra использует проекцию тома токена учетной записи службы (или учетную запись службы), чтобы pod могли использовать идентификацию Kubernetes. Токен Kubernetes выдан и федерация OpenID Connect (OIDC) позволяет приложениям Kubernetes безопасно получать доступ к ресурсам Azure с помощью идентификатора Microsoft Entra, основанного на учетных записях службы с аннотированием.

Можно использовать идентификатор рабочей нагрузки Microsoft Entra с клиентскими библиотеками удостоверений Azure или коллекцией Библиотеки проверки подлинности Microsoft (MSAL) и регистрацией приложения, чтобы легко пройти проверку подлинности и получить доступ к облачным ресурсам Azure.

Предпосылки

• AKS поддерживает Workload ID Microsoft Entra на версии 1.22 и выше.
• Azure CLI версии 2.47.0 или более поздней. Запустите az --version, чтобы определить версию и запустите az upgrade для обновления версии. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0.

Ограничения

• Для каждого управляемого удостоверения можно иметь не более 20 федеративных учетных данных.
• Для распространения учетных данных федеративного удостоверения после их первоначального добавления требуется несколько секунд.
• Надстройка "виртуальных узлов", основанная на проекте с открытым исходным кодом "Virtual Kubelet", не поддерживается.
• Создание учетных данных федеративного удостоверения не поддерживается для управляемых удостоверений, назначаемых пользователем, в этих регионах.

Клиентские библиотеки идентификации Azure

В клиентских библиотеках удостоверений Azure выберите один из следующих подходов:

• Используйте DefaultAzureCredential, который пытается использовать WorkloadIdentityCredential.
• Создайте экземпляр ChainedTokenCredential, который включает в себя WorkloadIdentityCredential.
• Используйте WorkloadIdentityCredential напрямую.

В следующей таблице приведена минимальная версия пакета, необходимая для каждой клиентской библиотеки экосистемы языков:

Примеры кода клиентской библиотеки удостоверений Azure

В следующих примерах кода используется DefaultAzureCredential. Этот тип учетных данных использует переменные среды, инъектированные мутацией удостоверения рабочей нагрузки вебхук, для проверки подлинности в Azure Key Vault. Чтобы просмотреть примеры с помощью одного из других подходов, обратитесь к клиентским библиотекам, зависящим от экосистемы.

using Azure.Identity;
using Azure.Security.KeyVault.Secrets;

string keyVaultUrl = Environment.GetEnvironmentVariable("<key-vault-url>");
string secretName = Environment.GetEnvironmentVariable("<secret-name>");

var client = new SecretClient(
    new Uri(keyVaultUrl),
    new DefaultAzureCredential());

KeyVaultSecret secret = await client.GetSecretAsync(secretName);

#include <cstdlib>
#include <azure/identity.hpp>
#include <azure/keyvault/secrets/secret_client.hpp>

using namespace Azure::Identity;
using namespace Azure::Security::KeyVault::Secrets;

int main()
{
  const char* keyVaultUrl = std::getenv("<key-vault-url>");
  const char* secretName = std::getenv("<secret-name>");
  auto credential = std::make_shared<DefaultAzureCredential>();

  SecretClient client(keyVaultUrl, credential);
  Secret secret = client.GetSecret(secretName).Value;

  return 0;
}

package main

import (
   "context"
   "os"

   "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   "github.com/Azure/azure-sdk-for-go/sdk/security/keyvault/azsecrets"
    "k8s.io/klog/v2"
)

func main() {
   keyVaultUrl := os.Getenv("<key-vault-url>")
   secretName := os.Getenv("<secret-name>")

   credential, err := azidentity.NewDefaultAzureCredential(nil)
   if err != nil {
      klog.Fatal(err)
   }

   client, err := azsecrets.NewClient(keyVaultUrl, credential, nil)
   if err != nil {
      klog.Fatal(err)
   }

   secret, err := client.GetSecret(context.Background(), secretName, "", nil)
   if err != nil {
      klog.ErrorS(err, "failed to get secret", "keyvault", keyVaultUrl, "secretName", secretName)
      os.Exit(1)
   }
}

import java.util.Map;

import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;
import com.azure.security.keyvault.secrets.models.KeyVaultSecret;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.identity.DefaultAzureCredential;

public class App {
    public static void main(String[] args) {
        Map<String, String> env = System.getenv();
        String keyVaultUrl = env.get("<key-vault-url>");
        String secretName = env.get("<secret-name>");

        SecretClient client = new SecretClientBuilder()
                .vaultUrl(keyVaultUrl)
                .credential(new DefaultAzureCredentialBuilder().build())
                .buildClient();
        KeyVaultSecret secret = client.getSecret(secretName);
    }
}

import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";

const main = async () => {
    const keyVaultUrl = process.env["<key-vault-url>"];
    const secretName = process.env["<secret-name>"];

    const credential = new DefaultAzureCredential();
    const client = new SecretClient(keyVaultUrl, credential);

    const secret = await client.getSecret(secretName);
}

main().catch((error) => {
    console.error("An error occurred:", error);
    process.exit(1);
});

import os

from azure.keyvault.secrets import SecretClient
from azure.identity import DefaultAzureCredential

def main():
    keyvault_url = os.getenv('<key-vault-url>', '')
    secret_name = os.getenv('<secret-name>', '')

    client = SecretClient(vault_url=keyvault_url, credential=DefaultAzureCredential())
    secret = client.get_secret(secret_name)

if __name__ == '__main__':
    main()

Библиотека проверки подлинности Майкрософт (MSAL)

Следующие клиентские библиотеки являются минимальной версией:

Принцип работы

В этой модели безопасности кластер AKS выступает в качестве издателя маркеров. Microsoft Entra ID использует OIDC для обнаружения открытых ключей подписания и проверки подлинности токена учетной записи службы перед обменом его на токен Microsoft Entra. Рабочая нагрузка может обменять токен учетной записи службы, встроенный в его том, на токен Microsoft Entra с помощью библиотеки Azure Identity или MSAL.

В следующей таблице описаны необходимые конечные точки издателя OIDC для идентификатора рабочей нагрузки Microsoft Entra.

На следующей схеме показана последовательность проверки подлинности с помощью OIDC:

Автоматическая смена сертификата веб-перехватчика

Аналогично другим надстройкам веб-перехватчика, операция автоматического обновления сертификата кластера обновляет сертификат.

Метки и аннотации учетной записи службы

Microsoft Entra Workload ID поддерживает следующие сопоставления, связанные с сервисной учетной записью:

• Один к одному, где учетная запись службы ссылается на объект Microsoft Entra.
• Многие-к-одному, где несколько учетных записей служб ссылаются на один и тот же объект Microsoft Entra.
• Один ко многим, где учетная запись службы ссылается на несколько объектов Microsoft Entra путем изменения аннотации идентификатора клиента. Дополнительные сведения см. в статье "Как объединить несколько удостоверений с учетной записью Kubernetes".

Если вы использовали управляемое пользователем удостоверение Microsoft Entra pod, то думайте о учетной записи службы как субъекте безопасности Azure, за исключением того, что учетная запись службы является частью основного API Kubernetes, а не пользовательского определения ресурсов (CRD). В следующих разделах описывается список доступных меток и аннотаций, которые можно использовать для настройки поведения при обмене токена учетной записи службы на токен доступа Microsoft Entra.

Аннотации учетной записи службы

Все заметки являются необязательными. Если заметка не указана, используется значение по умолчанию.

Метки Pod

Аннотации pod

Все заметки являются необязательными. Если заметка не указана, используется значение по умолчанию.

Переход на Microsoft Entra Workload ID

Кластеры, уже работающие с управляемой идентификацией Pod, можно настроить для использования Microsoft Entra Workload ID одним из двух способов:

• Используйте ту же конфигурацию, что и для pod-управляемой идентичности. Учетной записи службы в пространстве имен можно добавить аннотацию с идентификатором для включения Microsoft Entra Workload ID и внедрения аннотаций в поды.
• Перепишите ваше приложение, чтобы использовать последнюю версию клиентской библиотеки идентификации Azure.

Чтобы упростить процесс миграции, мы разработали вспомогательный модуль миграции, который преобразует транзакции службы метаданных экземпляров (IMDS), выполняемые вашим приложением, в OIDC. Сайдкар миграции не предназначен для долгосрочных решений, а служит способом быстрого запуска с использованием Microsoft Entra Workload ID. Запуск бокового автомобиля миграции в прокси приложения выполняет транзакции IMDS приложения к OIDC. Альтернативный подход — обновление до поддерживаемой версии клиентской библиотеки удостоверений Azure, которая поддерживает проверку подлинности OIDC.

В следующей таблице приведены рекомендации по миграции или развертыванию для кластера AKS:

Следующие шаги

• Сведения о настройке модуля pod для проверки подлинности с помощью удостоверения рабочей нагрузки в качестве параметра миграции см. в статье "Модернизация проверки подлинности приложения с помощью идентификатора рабочей нагрузки Microsoft Entra".
• См. раздел "Развертывание и настройка кластера AKS с помощью идентификатора рабочей нагрузки Microsoft Entra", который помогает развернуть кластер и настроить пример приложения для использования идентификатора рабочей нагрузки.