Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel bevat een overzicht van door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteiten in AKS, waaronder hoe ze werken, roltoewijzingen en AKS-specifieke functies voor beheerde identiteiten.
Zie Een beheerde identiteit gebruiken in Azure Kubernetes Service (AKS) als u een beheerde identiteit wilt inschakelen op een nieuw of bestaand AKS-cluster. Zie de documentatie over beheerde identiteiten voor Azure-resources voor meer informatie over beheerde identiteiten in Azure.
Opmerking
De door het systeem toegewezen en door de gebruiker toegewezen identiteitstypen verschillen van een workloadidentiteit, die is bedoeld voor gebruik door een toepassing die op een pod wordt uitgevoerd.
Autorisatiestroom voor beheerde identiteiten in AKS
AKS-clusters maken gebruik van door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteiten om tokens aan te vragen bij Microsoft Entra. Deze tokens helpen bij het autoriseren van toegang tot andere resources die worden uitgevoerd in Azure. U wijst een azure RBAC-rol (op rollen gebaseerd toegangsbeheer) toe aan de beheerde identiteit om deze machtigingen te verlenen aan een bepaalde Azure-resource. U kunt bijvoorbeeld machtigingen verlenen aan een beheerde identiteit voor toegang tot geheimen in een Azure-sleutelkluis voor gebruik door het cluster.
Gedrag van beheerde identiteit in AKS
Wanneer u een AKS-cluster implementeert, wordt standaard een door het systeem toegewezen beheerde identiteit voor u gemaakt. U kunt het cluster ook maken met een door de gebruiker toegewezen beheerde identiteit of een bestaand cluster bijwerken naar een ander type beheerde identiteit.
Als uw cluster al gebruikmaakt van een beheerde identiteit en u het identiteitstype wijzigt (bijvoorbeeld van door het systeem toegewezen aan door de gebruiker toegewezen), is er een vertraging terwijl onderdelen van het besturingsvlak overschakelen naar de nieuwe identiteit. Onderdelen van het besturingsvlak blijven de oude identiteit gebruiken totdat het token verloopt. Nadat het token is vernieuwd, schakelen ze over naar de nieuwe identiteit. Dit proces kan enkele uren duren.
Opmerking
Het is ook mogelijk om een cluster te maken met een toepassingsservice-principal in plaats van een beheerde identiteit. We raden u echter aan een beheerde identiteit te gebruiken via een toepassingsservice-principal voor beveiliging en gebruiksgemak. Als u een bestaand cluster hebt dat gebruikmaakt van een toepassingsservice-principal, kunt u het bijwerken om een beheerde identiteit te gebruiken.
AKS-identiteits- en referentiebeheer
Het Azure-platform beheert zowel door het systeem toegewezen als door de gebruiker toegewezen beheerde identiteiten en hun referenties, zodat u toegang vanuit uw toepassingen kunt autoriseren zonder dat u geheimen hoeft in te richten of te roteren.
Door het systeem toegewezen beheerde identiteit
De volgende tabel bevat een overzicht van de belangrijkste kenmerken van een door het systeem toegewezen beheerde identiteit in AKS:
| Creatie | Levenscyclus | Delen tussen resources | Veelvoorkomende gebruiksvoorbeelden |
|---|---|---|---|
| Gemaakt als onderdeel van een Azure-resource, zoals een AKS-cluster | Gekoppeld aan de levenscyclus van de bovenliggende resource, zodat deze wordt verwijderd wanneer de bovenliggende resource wordt verwijderd | Kan slechts aan één resource worden gekoppeld | • Workloads in één Azure-resource • Workloads waarvoor onafhankelijke identiteiten zijn vereist |
Door de gebruiker toegewezen beheerde identiteit
De volgende tabel bevat een overzicht van de belangrijkste kenmerken van een door de gebruiker toegewezen beheerde identiteit in AKS:
| Creatie | Levenscyclus | Delen tussen bronnen | Veelvoorkomende gebruiksvoorbeelden |
|---|---|---|---|
| Gemaakt als een zelfstandige Azure-resource en moet bestaan voordat het cluster wordt gemaakt | Onafhankelijk van de levenscyclus van een specifieke resource, dus moet handmatig worden verwijderd als deze niet meer nodig is | Kan worden gedeeld over meerdere resources | • Workloads die worden uitgevoerd op meerdere resources en die één identiteit kunnen delen • Workloads waarvoor preautorisatie vereist is voor een beveiligde resource als onderdeel van een inrichtingsproces. • Workloads waarbij middelen regelmatig worden gerecycled, maar consistente machtigingen nodig hebben |
Vooraf gemaakte beheerde kubelet-identiteit
Een vooraf gemaakte beheerde kubelet-identiteit is een optionele door de gebruiker toegewezen identiteit die kubelet kan gebruiken voor toegang tot andere resources in Azure. Deze functie maakt scenario's mogelijk, zoals verbinding met Azure Container Registry (ACR) tijdens het maken van het cluster. Als u geen door de gebruiker toegewezen beheerde identiteit voor kubelet opgeeft, maakt AKS een door de gebruiker toegewezen kubelet-identiteit in de resourcegroep van het knooppunt. Voor een door de gebruiker toegewezen kubelet-identiteit buiten de resourcegroep van het standaardwerkknooppunt moet u de rol Managed Identity Operator toewijzen aan de kubelet-identiteit voor beheerde identiteit op het besturingsvlak.
Roltoewijzingen voor beheerde identiteiten in AKS
U kunt een Azure RBAC-rol toewijzen aan een beheerde identiteit om de clustermachtigingen voor een andere Azure-resource te verlenen. Azure RBAC ondersteunt zowel ingebouwde als aangepaste roldefinities die machtigingsniveaus opgeven. Zie Stappen voor het toewijzen van een Azure-rol als u een rol wilt toewijzen.
Wanneer u een Azure RBAC-rol toewijst aan een beheerde identiteit, moet u het bereik voor de rol definiëren. Over het algemeen is het een best practice om het bereik van een rol te beperken tot de minimale bevoegdheden die zijn vereist voor de beheerde identiteit. Zie Het bereik voor Azure RBAC begrijpen voor meer informatie over het bereik van Azure RBAC.
Roltoewijzingen voor beheerde identiteiten in het controlevlak
Wanneer u uw eigen VNet maakt en gebruikt, gekoppelde Azure-schijven, statisch IP-adres, routetabel of door de gebruiker toegewezen kubelet-identiteit waarbij de resources zich buiten de resourcegroep van het werkknooppunt bevinden, wordt de roltoewijzing automatisch toegevoegd. Als u een ARM-sjabloon of een andere methode gebruikt, gebruikt u de principal-id van de beheerde identiteit om een roltoewijzing uit te voeren.
Als u de Azure CLI niet gebruikt, maar u uw eigen VNet gebruikt, gekoppelde Azure-schijven, statisch IP-adres, routetabel of door de gebruiker toegewezen kubelet-identiteit die zich buiten de resourcegroep van het werkknooppunt bevindt, raden we u aan een door de gebruiker toegewezen beheerde identiteit voor het besturingsvlak te gebruiken.
Wanneer het besturingsvlak een door het systeem toegewezen beheerde identiteit gebruikt, wordt de identiteit gemaakt op hetzelfde moment als het cluster, zodat de roltoewijzing pas kan worden uitgevoerd nadat het cluster is gemaakt.
Samenvatting van beheerde identiteiten die worden gebruikt door AKS
AKS maakt gebruik van verschillende beheerde identiteiten voor ingebouwde services en invoegtoepassingen. De volgende tabel bevat een overzicht van de beheerde identiteiten die door AKS worden gebruikt, de bijbehorende use cases, standaardmachtigingen en of u uw eigen identiteit kunt gebruiken:
| Identiteit | Naam | Gebruiksituatie | Standaardmachtigingen | Neem je eigen identiteit mee |
|---|---|---|---|---|
| beheerlaag | Naam van AKS-cluster | Wordt gebruikt door AKS-besturingsvlakonderdelen voor het beheren van clusterresources, waaronder load balancers voor inkomend verkeer en door AKS beheerde openbare IP-adressen, automatische schaalaanpassing van clusters, Azure Disk, File, Blob CSI-stuurprogramma's | Rol bijdrager voor knooppunt-resourcegroep | Ondersteund |
| Kubelet | AKS-clusternaam-agentpool | Verificatie met Azure Container Registry (ACR) | Niet van toepassing voor Kubernetes versie 1.15 en hoger | Ondersteund |
| Invoegtoepassing | AzureNPM | Geen identiteit vereist | N/A | Niet ondersteund |
| Invoegtoepassing | AzureCNI-netwerkbewaking | Geen identiteit vereist | N/A | Niet ondersteund |
| Invoegtoepassing | azure-policy (gatekeeper) | Geen identiteit vereist | N/A | Niet ondersteund |
| Invoegtoepassing | Calico | Geen identiteit vereist | N/A | Niet ondersteund |
| Invoegtoepassing | toepassingsroutering | Beheert Azure DNS- en Azure Key Vault-certificaten | Key Vault Geheimen gebruikersrol voor Key Vault, rol DNS-zonebijdrager voor DNS-zones, rol Inzender voor privé-DNS-zones | Niet ondersteund |
| Invoegtoepassing | HTTPApplicationRouting | Beheert vereiste netwerkbronnen | Lezerrol voor knooppuntresourcegroep, rol inzender voor DNS-zone | Niet ondersteund |
| Invoegtoepassing | Toepassingsgateway voor inkomend verkeer | Beheert vereiste netwerkbronnen | Bijdragerrol voor knooppuntresourcegroep | Niet ondersteund |
| Invoegtoepassing | omsagent | Wordt gebruikt voor het verzenden van metrische AKS-gegevens naar Azure Monitor | De rol van uitgever van monitoringstatistieken | Niet ondersteund |
| Invoegtoepassing | Virtual-Node (ACIConnector) | Beheert vereiste netwerkbronnen voor Azure Container Instances (ACI) | Rol Inzender voor knooppuntresourcegroep | Niet ondersteund |
| Invoegtoepassing | Kostenanalyse | Wordt gebruikt om kostentoewijzingsgegevens te verzamelen | N/A | Ondersteund |
| Workload-identiteit | Microsoft Entra Workload-id | Hiermee kunnen toepassingen veilig toegang krijgen tot cloudresources met de Workload-id van Microsoft Entra | N/A | Niet ondersteund |
Volgende stap: Beheerde identiteiten in AKS inschakelen
Zie Een beheerde identiteit gebruiken in Azure Kubernetes Service (AKS) voor meer informatie over het inschakelen van beheerde identiteiten in een nieuw of bestaand AKS-cluster.