Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
AKS maakt gebruik van identiteit in vijf verschillende scenario's. Elk scenario beantwoordt een andere vraag en heeft een eigen configuratiemodel. Dit artikel bevat een korte inleiding tot elk document en verwijst naar de uitgebreide documentatie.
De vijf identiteitsscenario's in AKS
| Scenario | Vraag die het beantwoordt | Diepgaande documentatie |
|---|---|---|
| Eén. Kubernetes-verificatie op het besturingsvlak | Wie is de aanroeper die de Kubernetes-API aanroept? | Concepten van clusterverificatie, externe id-providers |
| B. Autorisatie van kubernetes-besturingsvlak | Wat mag de aanroeper doen nadat deze is geverifieerd bij de Kubernetes-API? | Concepten voor clusterautorisatie |
| C. AKS-resourceautorisatie (Azure Resource Manager) | Wie kan bewerkingen op Azure-niveau uitvoeren op de AKS-resource, zoals ophalen kubeconfig? |
Toegang tot clusterconfiguratiebestand beperken, ingebouwde Azure-rollen |
| D. Clusteridentiteit (cluster → Azure) | Hoe handelt het AKS-cluster in Azure om namens u resources te beheren? | Beheerde identiteiten in AKS |
| E. Workloadidentiteit (pod → Azure) | Hoe worden pods geverifieerd bij Azure-services zoals Key Vault of Storage? | Overzicht van de Microsoft Entra Workload ID |
De rest van dit artikel geeft een korte oriëntatie voor elk scenario.
Eén. Kubernetes-authenticatie van het control plane
Met Kubernetes-besturingsvlakverificatie wordt de identiteit van een gebruiker of service-principal vastgesteld die de Kubernetes-API-server aanroept. AKS ondersteunt:
- Microsoft Entra ID (aanbevolen). Gebruik Entra ID-identiteiten en -groepen om u aan te melden bij het cluster. Microsoft Entra-integratie voorziet en roteert de integratie namens u. Zie Microsoft Entra-integratie gebruiken om dit in te schakelen.
- Lokale gebruikersaccounts. Een ingebouwd clusterbeheerderscertificaat waarmee de Entra-id wordt overgeslagen. We raden u aan lokale accounts uit te schakelen in de productieomgeving. Bekijk Lokale accounts beheren.
- Externe id-providers. Gebruik een andere id-provider die compatibel is met OIDC dan Microsoft Entra-id. Zie Verificatie van externe id-provider.
Zie concepten voor clusterverificatie voor gedetailleerde informatie over hoe AKS Kubernetes API-aanvragen verifieert.
B. Autorisatie van kubernetes-besturingsvlak
Nadat een aanroeper is geverifieerd bij de Kubernetes-API, autoriseert AKS de aanvraag met behulp van een (of beide) van twee modellen:
- Kubernetes RBAC. Het systeemeigen Kubernetes-model
Role/ClusterRole/RoleBindingdat door de API-server wordt geëvalueerd. Machtigingen bevinden zich in het cluster als Kubernetes-objecten. - Microsoft Entra ID-autorisatie. Een AKS-autorisatiewebhook delegeert autorisatiebeslissingen aan Microsoft Entra ID met behulp van Azure-roltoewijzingen. Azure RBAC-roltoewijzingen met
dataActionsworden ondersteund voor alle standaard Kubernetes-API-resources en roltoewijzingen met Azure ABAC-voorwaarden worden ondersteund voor aangepaste resources. Machtigingen worden centraal beheerd in Microsoft Entra ID en kunnen veel clusters beheren door middel van een enkele roltoewijzing op het niveau van abonnement, beheergroep of resourcegroep.
Zie Concepten voor clusterautorisatie voor een vergelijking en richtlijnen naast elkaar voor het gebruik van elk model.
C. AKS-resourceautorisatie (Azure Resource Manager)
Naast het autoriseren van aanroepen naar de Kubernetes-API, moet u ook bewerkingen op Azure-niveau autoriseren voor de AKS-resource zelf. Het meest voorkomende voorbeeld is bepalen wie een cluster kubeconfigkan ophalen. Dit is een zelfstandige Azure Resource Manager-bewerking die u gedetailleerd kunt beheren met Azure RBAC. Dit is standaard Azure RBAC voor de Microsoft.ContainerService resourceprovider, gescheiden van het autoriseren van de Kubernetes-API. Zie De toegang tot het clusterconfiguratiebestand en de ingebouwde rollen in Ingebouwde Azure-rollen beperken.
D. Clusteridentiteit (cluster → Azure)
AKS-clusters gebruiken door Azure beheerde identiteiten om namens u op Azure-resources te reageren, bijvoorbeeld om load balancers te maken, schijven te koppelen of installatiekopieën op te halen uit Azure Container Registry. De belangrijkste identiteiten zijn:
- Identiteit van besturingsvlak. Wordt gebruikt door het clusterbesturingsvlak om Azure-resources voor het cluster te beheren.
- Kubelet-identiteit. Wordt door de kubelet op elk knooppunt gebruikt om te verifiëren bij services zoals Azure Container Registry.
- Identiteit van invoegtoepassingen/extensies. Sommige AKS-invoegtoepassingen en -extensies gebruiken hun eigen beheerde identiteiten.
Zie Beheerde identiteiten in AKS voor meer informatie over elk identiteitstype en het gebruik van door het systeem toegewezen versus door de gebruiker toegewezen identiteiten.
E. Workloadidentiteit (pod → Azure)
Met workload-identiteit kunnen pods die worden uitgevoerd in uw AKS-cluster zich authenticeren bij door Microsoft Entra beveiligde Azure-services (zoals Key Vault, Storage of Cosmos DB) zonder geheimen in het cluster op te slaan. AKS maakt gebruik van Microsoft Entra Workload ID, die een Kubernetes-serviceaccounttoken projecteert dat is gefedereerd aan een Microsoft Entra-toepassing of een door de gebruiker toegewezen beheerde identiteit.
Gebruik niet de afgeschafte door Microsoft Entra beheerde identiteit voor nieuwe workloads.
Beslissingshandleiding
| Goal | Gebruik deze documenten |
|---|---|
| Gebruikers aanmelden bij het cluster met Microsoft Entra-id | Microsoft Entra-integratie inschakelen |
| Bepalen wie wat kan doen in de Kubernetes-API in veel clusters | Microsoft Entra ID-autorisatie gebruiken voor de Kubernetes-API |
| Toegang tot specifieke aangepaste resourcetypen beperken | ABAC-voorwaarden in Entra ID-autorisatie |
| Machtigingen toewijzen per cluster, per naamruimte als Kubernetes-objecten | Kubernetes RBAC gebruiken met Entra-integratie |
| Laat het cluster ophalen uit ACR of schijven koppelen | Beheerde identiteiten in AKS |
| Laat pods Key Vault of Storage bereiken zonder geheimen | Overzicht van de Microsoft Entra Workload ID |
Beperken wie het cluster kan downloaden kubeconfig |
Toegang tot clusterconfiguratiebestand beperken |
AKS-servicemachtigingen referentie
Voor de Azure-machtigingen die worden gebruikt door AKS: de identiteit die het cluster maakt, de clusteridentiteit tijdens runtime, aanvullende machtigingen voor clusteridentiteit en toegang tot AKS-knooppunten, raadpleegt u de naslaginformatie over AKS-servicemachtigingen.
Volgende stappen
- Concepten voor clusterverificatie
- Concepten voor clusterautorisatie
- Microsoft Entra ID-autorisatie gebruiken voor de Kubernetes-API
- Beheerde identiteiten in AKS
- Overzicht van de Microsoft Entra Workload ID
Voor meer informatie over de kernconcepten van Kubernetes en AKS, zie de volgende artikelen: