共用方式為


已啟用 Azure Arc 的 Kubernetes 身分識別和存取管理

已啟用 Azure Arc 的 Kubernetes 支援與不同身分識別和存取管理系統整合的內部部署和其他雲端環境。 除了現有的 Kubernetes 叢集角色型存取控制 (RBAC),已啟用 Azure Arc 的 Kubernetes 還支援 Azure RBAC,以統一 Kubernetes 叢集之間的存取管理,並將作業額外負荷降至最低。

組織應該使用的 RBAC 模型組合取決於貴組織所需的使用方式。 一些範例包括:

  • 將 Kubernetes 叢集上線至 Azure Arc
  • 管理已啟用 Arc 的 Kubernetes 叢集
  • 安裝 Azure Arc 叢集擴充功能
  • 在已啟用 Arc 的 Kubernetes 叢集上執行應用程式
  • 使用 Azure RBAC 存取 Azure 資源

瞭解貴組織的需求和已啟用 Azure Arc 的 Kubernetes 功能,可讓您在建置已啟用 Arc 的 Kubernetes 叢集時,為您的特定基礎結構、安全性和治理需求選擇最佳的 RBAC 模型。

本文說明適用於各種案例的已啟用 Azure Arc 的 Kubernetes 身分識別和存取管理 (IAM) 架構、設計考慮、建議和角色型訪問控制。

架構

若要為您的組織設計正確的架構,您必須瞭解 已啟用Arc的 Kubernetes 連線模式。 Azure RBAC 僅支援完全連線模式,而不是半連線模式。

已啟用 Azure Arc 的 Kubernetes 上的 Azure RBAC

下圖顯示各種已啟用 Azure Arc 的 Kubernetes 元件,以及在 Azure RBAC 用來管理 Kubernetes 叢集時如何互動。

此圖顯示已啟用 Azure Arc 的 Kubernetes 上的 Azure R B A C。

從任何地方安全地存取已啟用 Azure Arc 的 Kubernetes 叢集

下圖顯示 隨處 啟用 Azure Arc 的 Kubernetes 叢集存取,並顯示元件如何彼此互動,以使用 Azure RBAC 管理叢集。

此圖顯示如何在任何地方存取已啟用 Arc 的 Kubernetes。

設計考量

檢閱 Azure 登陸區域的身分識別和存取管理設計區域 ,以評估已啟用 Azure Arc 的 Kubernetes 對整體身分識別和存取模型的影響。

針對 Kubernetes 叢集上線:

  • 決定將 Kubernetes 叢集個別或大規模上線至 Azure Arc 的Microsoft Entra 使用者(針對單一叢集手動上線)與服務主體(針對多個叢集的腳本和無前端上線)。 如需更多實作詳細數據,請參閱 自動化專業領域的重要設計區域
  • 上架實體的身分識別必須在叢集上擁有叢集管理員 ClusterRoleBinding。 決定使用來自內部部署或其他雲端識別提供者的使用者,或使用具有叢集管理員角色的 Kubernetes 服務帳戶。

針對 Kubernetes 叢集管理:

  • 啟用 Azure Arc 的 Kubernetes 會將Microsoft Entra 驗證和 Azure RBAC 帶入內部部署或其他雲端 Kubernetes 環境時,您必須根據組織的安全性和治理需求,在現有的 Kubernetes 存取管理和 Azure RBAC 之間做出決定。
  • 判斷已啟用 Azure Arc 的 Kubernetes 叢集 Connect 是否可讓您彈性 地管理 Kubernetes 叢集 ,而不需要將輸入防火牆埠開啟至內部部署或其他雲端網路。
  • 當您有許多 Kubernetes 叢集在內部部署和其他雲端環境中執行,且您需要簡化所有 Kubernetes 叢集的叢集管理時,判斷 Azure RBAC 是否是正確的選擇。

設計建議

針對 Kubernetes 叢集上線:

  • 使用 Microsoft Entra 安全組 授與已啟用 Azure Arc 的 Kubernetes 叢集 RBAC 角色,以便上線和管理已啟用 Azure Arc 的 Kubernetes 叢集。

針對 Kubernetes 叢集管理:

  • 如果您的內部部署身分識別與 Microsoft Entra 識別符同步處理,請在使用 Azure RBAC 進行叢集管理時使用相同的身分識別。

  • 建立 安全組 並將其對應至已啟用 Azure Arc 的 Kubernetes 支援的 Azure RBAC 角色,以簡化存取管理。 根據您的資源組織和治理需求,在資源群組或訂用帳戶層級指派許可權給這些安全組。 如需詳細資訊,請參閱 資源組織重要設計區域

    注意

    已啟用 Azure Arc 的 Kubernetes 不支援具有超過 200 個安全組成員資格的使用者,而是會提供驗證錯誤。

  • 避免將使用者直接指派給 Azure RBAC 角色,因為管理存取管理很困難。

  • 指派安全組擁有者,以分散和委派存取管理責任和稽核指派。

  • 在 Microsoft Entra ID 中啟用定期 存取權檢閱 ,以移除不再需要 Kubernetes 叢集存取權的使用者。

  • 使用 Azure RBAC 進行叢集管理時,建立 條件式存取 原則,以強制執行各種條件以符合安全性和治理原則。

角色型訪問控制

已啟用 Azure Arc 的 Kubernetes 會使用 Azure RBAC 來管理 Kubernetes 叢集,並支援下列角色,將 Kubernetes 叢集上線至 Azure Arc。

角色 描述
已啟用 Azure Arc 的 Kubernetes 叢集使用者角色 可讓您擷取 Cluster Connect 型 kubeconfig 檔案,以從任何地方管理叢集。
Azure Arc Kubernetes 系統管理員 可讓您管理叢集/命名空間下的所有資源,但更新或刪除資源配額和命名空間除外。
Azure Arc Kubernetes 叢集系統管理員 可讓您管理叢集中的所有資源。
Azure Arc Kubernetes 檢視者 可讓您檢視叢集/命名空間中的所有資源,但秘密除外。
Azure Arc Kubernetes 寫入者 可讓您更新叢集/命名空間中的所有專案,但 [叢集] 角色和 [叢集] 角色系結除外。
Kubernetes 叢集 - Azure Arc 上線 角色定義可讓您授權任何使用者/服務建立連線的叢集資源

下一步

如需混合式和多重雲端雲端旅程的詳細資訊,請參閱下列文章: