Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приводятся рекомендации по проектированию и управлению удостоверениями и доступом при использовании службы Azure Kubernetes (AKS). Существует несколько аспектов управления идентификацией и доступом, включая идентификации кластера, идентификации рабочих нагрузок и доступ операторов.
Рекомендации по проектированию
- Определите, какое удостоверение кластера следует использовать (управляемое удостоверение или учетная запись службы).
- Решите, как пройти проверку подлинности доступа к кластеру: на основе сертификатов клиента или с помощью идентификатора Microsoft Entra.
- Решите о мультитенантном кластере и настройке управления доступом на основе ролей (RBAC) в Kubernetes.
- Выберите метод изоляции. К методам относятся пространство имен, сетевая политика (разрешено только Azure CNI), вычислительные ресурсы (пул узлов) и кластер.
- Определите роли в системе RBAC Kubernetes и распределение вычислительных ресурсов для каждой команды разработчиков приложений с целью изоляции.
- Определите, могут ли команды приложений читать другие рабочие нагрузки в своих кластерах или в других кластерах.
- Определите разрешения для пользовательских ролей Azure RBAC для зоны размещения AKS.
- Определите, какие разрешения необходимы для роли инженерии надежности сайта (SRE), чтобы эта роль позволяет администрировать и устранять неполадки всего кластера.
- Определите, какие разрешения необходимы для SecOps.
- Определите, какие разрешения необходимы для владельца посадочной зоны.
- Определите разрешения, необходимые командам приложений для развертывания в кластере.
- Определите, нужны ли идентификации рабочей нагрузки (идентификаторы рабочей нагрузки Microsoft Entra). Вам может потребоваться их для таких служб, как интеграция Azure Key Vault и Azure Cosmos DB.
Рекомендации по проектированию
- Идентичности кластера.
- Используйте собственное управляемое удостоверение для кластера AKS.
- Определите пользовательские роли Azure RBAC для начальной конфигурации AKS, чтобы облегчить управление необходимыми разрешениями для удостоверений, управляемых кластером.
- Доступ к кластеру.
- Используйте RBAC Kubernetes с идентификатором Microsoft Entra, чтобы ограничить привилегии и минимизировать привилегии администратора. Это помогает защитить доступ к конфигурации и секретам.
- Интеграция Microsoft Entra с управлением AKS позволяет использовать идентификатор Microsoft Entra для проверки подлинности и доступа к оператору и разработчику.
- Определите необходимые роли RBAC и привязки ролей в Kubernetes.
- Используйте роли и привязки ролей Kubernetes для групп Microsoft Entra в области инженерии надежности сайтов (SRE), SecOps и доступов разработчиков.
- Рассмотрите возможность использования Azure RBAC для Kubernetes, которая обеспечивает унифицированное управление и управление доступом между ресурсами Azure, AKS и ресурсами Kubernetes. Если azure RBAC для Kubernetes включен, вам не нужно отдельно управлять удостоверениями пользователей и учетными данными для Kubernetes. Субъекты Microsoft Entra будут проверяться только с помощью Azure RBAC, а обычные пользователи Kubernetes и учетные записи служб — только с помощью Kubernetes RBAC.
- При необходимости предоставьте SRE полный доступ.
- Используйте идентификатор рабочей нагрузки Microsoft Entra для Kubernetes. При реализации этой федерации разработчики могут использовать собственные учетные записи службы Kubernetes и федерацию для доступа к ресурсам, управляемым идентификатором Microsoft Entra, например Azure и Microsoft Graph.