Azure Arc 지원 Kubernetes ID 및 액세스 개요
Azure Arc 지원 Kubernetes 클러스터에 대한 액세스를 인증, 권한 부여, 제어할 수 있습니다. 이 항목에서는 Arc 지원 Kubernetes 클러스터를 사용하여 이 작업을 수행하기 위한 옵션을 간략하게 설명합니다.
이 이미지는 다음과 같은 다양한 옵션을 사용할 수 있는 방법을 보여 줍니다.
필요에 가장 적합한 경우 클러스터 연결과 Azure RBAC를 함께 사용할 수도 있습니다.
연결 옵션
사용자가 Arc 지원 Kubernetes 클러스터를 인증하고 액세스하는 방법을 계획할 때 첫 번째 결정은 클러스터 연결 기능을 사용할지 여부입니다.
클러스터 연결
Azure Arc 지원 Kubernetes 클러스터 연결 기능은 클러스터의 apiserver에 대한 연결을 제공합니다. 이 연결은 방화벽에서 인바운드 포트를 사용하도록 설정할 필요가 없습니다. 클러스터에서 실행되는 역방향 프록시 에이전트는 아웃바운드 방식으로 Azure Arc 서비스를 사용하여 세션을 안전하게 시작할 수 있습니다.
클러스터 연결을 사용하면 Azure 내에서 또는 인터넷에서 Arc 지원 클러스터에 액세스할 수 있습니다. 이 기능을 사용하면 대화형 디버깅 및 문제 해결 시나리오를 사용할 수 있습니다. 클러스터 연결에는 새 사용자에게 권한이 필요한 경우 업데이트에 대한 상호 작용이 덜 필요할 수도 있습니다. 이 문서에 설명된 모든 권한 부여 및 인증 옵션은 클러스터 연결에서 작동합니다.
사용자 지정 위치를 사용하거나 Azure Portal에서 Kubernetes 리소스를 보려면 클러스터 연결이 필요합니다.
자세한 내용은 클러스터 연결을 사용하여 Azure Arc 지원 Kubernetes 클러스터에 안전하게 연결을 참조하세요.
클러스터 연결이 없는 Microsoft Entra ID 및 Azure RBAC
클러스터 연결을 사용하지 않으려면 Microsoft Entra ID 및 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 연결된 클러스터에 액세스할 수 있도록 사용자를 인증하고 권한을 부여할 수 있습니다. Azure Arc 지원 Kubernetes에서 Azure RBAC를 사용하면 테넌트의 사용자에게 부여된 액세스 권한을 제어하고 친숙한 Azure ID 및 액세스 기능을 사용하여 Azure에서 바로 액세스를 관리할 수 있습니다. 구독 또는 리소스 그룹 범위에서 역할을 구성하여 해당 범위 내의 연결된 모든 클러스터에 롤아웃할 수도 있습니다.
Azure RBAC는 조건부 액세스를 지원하므로 Just-In-Time 클러스터 액세스를 사용하도록 설정하거나 승인된 클라이언트 또는 디바이스에 대한 액세스를 제한할 수 있습니다.
또한 Azure RBAC는 직접 통신 모드를 지원하여 모든 연결이 Azure를 통과하도록 요구하는 대신, Microsoft Entra ID를 사용하여 데이터 센터 내에서 직접 연결된 클러스터에 액세스합니다.
Arc 지원 Kubernetes의 Azure RBAC는 현재 공개 미리 보기로 제공됩니다. 자세한 내용은 Azure Arc 지원 Kubernetes 클러스터에서 Azure RBAC 사용을 참조하세요.
인증 옵션
인증은 사용자의 ID를 확인하는 프로세스입니다. Arc 지원 Kubernetes 클러스터에 인증하는 두 가지 옵션으로는 클러스터 연결 및 Azure RBAC가 있습니다.
Microsoft Entra 인증
Arc 지원 Kubernetes의 Azure RBAC 기능을 사용하면 Microsoft Entra ID를 사용하여 Azure 테넌트의 사용자가 연결된 Kubernetes 클러스터에 액세스하도록 할 수 있습니다.
클러스터 연결에서 Microsoft Entra 인증을 사용할 수도 있습니다. 자세한 내용은 Microsoft Entra 인증 옵션을 참조하세요.
서비스 토큰 인증
클러스터 연결을 사용하면 서비스 계정을 통해 인증하도록 선택할 수 있습니다.
자세한 내용은 서비스 계정 토큰 인증 옵션을 참조하세요.
권한 부여 옵션
권한 부여는 인증된 사용자에게 지정된 작업을 수행할 수 있는 권한을 부여합니다. Azure Arc 지원 Kubernetes에는 RBAC(역할 기반 액세스 제어)를 사용하는 두 가지 권한 부여 옵션이 있습니다.
- Azure RBAC(Azure 역할 기반 액세스 제어)는 Microsoft Entra ID 및 Azure Resource Manager를 사용하여 Azure 리소스에 대한 세분화된 액세스 관리를 제공합니다. 이렇게 하면 수행된 모든 변경 내용을 추적하는 활동 로그와 같은 Azure 역할 할당의 이점을 Azure Arc 지원 Kubernetes 클러스터와 함께 사용할 수 있습니다.
- Kubernetes RBAC(Kubernetes 역할 기반 액세스 제어)를 사용하면 사용자, 그룹 및 서비스 계정이 특정 클러스터 리소스에만 액세스할 수 있도록 Kubernetes API를 통해 정책을 동적으로 구성할 수 있습니다.
Kubernetes RBAC는 클러스터 내의 Kubernetes 리소스에서만 작동하지만 Azure RBAC는 Azure 구독의 리소스에서 작동합니다.
Azure RBAC 권한 부여
Azure RBAC(역할 기반 액세스 제어)는 Azure 리소스에 대한 세분화된 액세스 관리를 제공하는 Azure Resource Manager 및 Microsoft Entra ID 기반의 권한 부여 시스템입니다. Azure RBAC에서 역할 정의에 적용할 권한이 간략하게 설명됩니다. 특정 범위에 대한 역할 할당을 통해 사용자 또는 그룹에 이러한 역할을 할당합니다. 범위는 전체 구독에서 또는 리소스 그룹 또는 Kubernetes 클러스터와 같은 개별 리소스로 제한될 수 있습니다.
클러스터 연결 없이 Microsoft Entra 인증을 사용하는 경우 Azure RBAC 권한 부여는 권한 부여를 위한 유일한 옵션입니다.
Microsoft Entra 인증에서 클러스터 연결을 사용하는 경우 클러스터의 apiserver에 대한 연결에 Azure RBAC를 사용할 수 있는 옵션이 있습니다. 자세한 내용은 Microsoft Entra 인증 옵션을 참조하세요.
Kubernetes RBAC 권한 부여
Kubernetes RBAC는 사용자 작업의 세부적인 필터링을 제공합니다. Kubernetes RBAC에서 사용자 또는 그룹 권한을 할당하여 리소스를 만들고 수정하거나 실행 중인 애플리케이션 워크로드에서 로그를 볼 수 있습니다. 역할을 만들어 권한을 정의한 다음 역할 바인딩을 사용하여 해당 역할을 사용자에게 할당합니다. 사용 권한은 단일 네임스페이스 또는 전체 클러스터로 범위를 지정할 수 있습니다.
서비스 계정 토큰 인증 옵션 에서 클러스터 연결을 사용하는 경우 Kubernetes RBAC를 사용하여 클러스터의 apiserver에 대한 연결을 제공해야 합니다. 이 연결은 방화벽에서 인바운드 포트를 사용하도록 설정할 필요가 없습니다. 클러스터에서 실행되는 역방향 프록시 에이전트는 아웃바운드 방식으로 Azure Arc 서비스를 사용하여 세션을 안전하게 시작할 수 있습니다.
Microsoft Entra 인증에 클러스터 연결을 사용하는 경우 Azure RBAC 대신 Kubernetes RBAC를 사용할 수도 있습니다.