Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Kubernetes Fleet Manager używa tożsamości firmy Microsoft Entra do uzyskiwania dostępu do zasobów platformy Azure, takich jak sieci wirtualne platformy Azure, lub do zarządzania długotrwałych działań w tle, takich jak automatyczne uaktualnianie wielu klastrów.
Tożsamość zarządzana umożliwia autoryzowanie dostępu z usługi Fleet Manager do dowolnej usługi obsługującej autoryzację firmy Microsoft Entra bez konieczności zarządzania poświadczeniami lub uwzględnienia ich w kodzie. Do tożsamości zarządzanej przypisujesz rolę kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby przyznać jej uprawnienia do określonego zasobu na platformie Azure. Aby uzyskać więcej informacji na temat kontroli dostępu na podstawie ról platformy Azure, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)?.
W tym artykule pokazano, jak włączyć następujące typy tożsamości zarządzanej w nowym lub istniejącym rozwiązaniu Azure Kubernetes Fleet Manager:
- Tożsamość zarządzana przypisana przez system. Tożsamość zarządzana przypisana przez system jest skojarzona z pojedynczym zasobem platformy Azure, takim jak Fleet Manager. Istnieje tylko w cyklu życia programu Fleet Manager.
- Tożsamość zarządzana przypisana przez użytkownika. Tożsamość zarządzana przypisana przez użytkownika to autonomiczny zasób platformy Azure, którego menedżer Fleet Manager może użyć do autoryzowania dostępu do innych usług platformy Azure. Jest on utrwalany oddzielnie od menedżera floty i może być używany przez wiele zasobów platformy Azure.
Aby dowiedzieć się więcej o tożsamościach zarządzanych, zobacz Tożsamości zarządzane dla zasobów platformy Azure.
Zanim rozpoczniesz
Jeśli zamierzasz używać interfejsu wiersza polecenia platformy Azure, upewnij się, że masz zainstalowany interfejs wiersza polecenia platformy Azure w wersji 2.75.0 lub nowszej. Aby dowiedzieć się, jaka wersja jest używana, uruchom polecenie az --version. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
Przed uruchomieniem przykładów interfejsu wiersza polecenia platformy Azure w tym artykule ustaw subskrypcję jako bieżącą aktywną subskrypcję, wywołując polecenie az account set i przekazując identyfikator subskrypcji.
az account set --subscription <subscription-id>
Utwórz również grupę zasobów platformy Azure, jeśli jeszcze jej nie masz, wywołując az group create polecenie .
az group create \
--name myResourceGroup \
--location westus2
Włączanie tożsamości zarządzanej przypisanej przez system
Tożsamość zarządzana przypisana przez system jest tożsamością skojarzoną z usługą Fleet Manager lub innym zasobem platformy Azure. Tożsamość zarządzana przypisana przez system jest powiązana z cyklem życia programu Fleet Manager. Po usunięciu usługi Fleet Manager tożsamość zarządzana przypisana przez system zostanie również usunięta.
Usługa Fleet Manager może użyć przypisanej przez system tożsamości zarządzanej, aby autoryzować dostęp do innych zasobów działających na platformie Azure i wykonywać długotrwałe procesy w tle. Rolę RBAC platformy Azure można przypisać do przypisanej przez system tożsamości zarządzanej w celu udzielenia uprawnień usługi Fleet Manager w celu uzyskania dostępu do określonych zasobów. Jeśli na przykład usługa Fleet Manager musi zarządzać zasobami sieciowymi, możesz przypisać do przypisanej przez system tożsamości zarządzanej rolę RBAC platformy Azure, która przyznaje te uprawnienia.
Włączanie tożsamości zarządzanej przypisanej przez system w nowym programie Fleet Manager
Podczas tworzenia nowego programu Fleet Manager w witrynie Azure Portal zostanie automatycznie utworzona tożsamość zarządzana przypisana przez system.
Możesz sprawdzić, czy tożsamość zarządzana przypisana przez system jest włączona, sprawdzając blok Tożsamość w sekcji Ustawienia programu Fleet Manager. Stan to Włączone, a identyfikator obiektu (podmiot zabezpieczeń) jest wypełniany (nie pokazano na ilustracji).
Aktualizowanie istniejącego programu Fleet Manager w celu używania tożsamości zarządzanej przypisanej przez system
Tożsamość zarządzaną programu Fleet Manager można zarządzać przy użyciu bloku Tożsamość w sekcji Ustawienia programu Fleet Manager.
Włącz tożsamość zarządzaną przypisaną przez system, ustawiając stan Przypisane przez system na Wł . i wybierając pozycję Zapisz.
Wybierz pozycję Tak w oknie dialogowym potwierdzenia.
Po kilku chwilach stan zmieni się na Włączone , a identyfikator obiektu (podmiot zabezpieczeń) zostanie wypełniony (nie pokazany na ilustracji).
Dodawanie przypisania roli dla tożsamości zarządzanej przypisanej przez system
Rolę RBAC platformy Azure można przypisać do przypisanej przez system tożsamości zarządzanej w celu udzielenia uprawnień usługi Fleet Manager w innym zasobie platformy Azure. Kontrola dostępu oparta na rolach platformy Azure obsługuje zarówno wbudowane, jak i niestandardowe definicje ról, które określają poziomy uprawnień. Aby uzyskać więcej informacji na temat przypisywania ról RBAC platformy Azure, zobacz Kroki przypisywania roli platformy Azure.
Po przypisaniu roli RBAC platformy Azure do tożsamości zarządzanej należy zdefiniować zakres roli. Ogólnie rzecz biorąc, najlepszym rozwiązaniem jest ograniczenie zakresu roli do minimalnych uprawnień wymaganych przez tożsamość zarządzaną. Aby uzyskać więcej informacji na temat określania zakresu ról RBAC platformy Azure, zobacz Omówienie zakresu kontroli dostępu opartej na rolach platformy Azure.
Uwaga / Notatka
Propagacja uprawnień udzielonych tożsamości zarządzanej usługi Fleet Manager może potrwać do 60 minut.
Wybierz kartę Przypisania ról platformy Azure w bloku Tożsamość usługi Fleet Manager. Spowoduje to otwarcie okienka Przypisania ról platformy Azure .
Wybierz pozycję Dodaj przypisanie roli , aby otworzyć okienko Dodawanie przypisania roli i wprowadź:
Zakres — wybierz pozycję Grupa zasobów.
Subskrypcja — wybierz subskrypcję platformy Azure zawierającą grupę zasobów, której chcesz użyć.
Grupa zasobów — wybierz grupę zasobów.
Rola — wybierz rolę, którą chcesz przypisać do przypisanej przez system tożsamości zarządzanej programu Fleet Manager (na przykład Współautor sieci).
Wybierz pozycję Zapisz , aby przypisać rolę do przypisanej przez system tożsamości zarządzanej programu Fleet Manager.
Włączanie tożsamości zarządzanej przypisanej przez użytkownika
Tożsamość zarządzana przypisana przez użytkownika jest autonomicznym zasobem platformy Azure. Podczas tworzenia usługi Fleet Manager z tożsamością zarządzaną przypisaną przez użytkownika przed utworzeniem usługi Fleet Manager musi istnieć zasób tożsamości zarządzanej przypisanej przez użytkownika.
Tworzenie tożsamości zarządzanej przypisanej przez użytkownika
Jeśli nie masz jeszcze zasobu tożsamości zarządzanej przypisanej przez użytkownika, utwórz go przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.
Wykonaj kroki opisane w dokumentacji tworzenia tożsamości zarządzanej przypisanej przez użytkownika.
Przypisywanie roli RBAC platformy Azure do tożsamości zarządzanej przypisanej przez użytkownika
Przed utworzeniem programu Fleet Manager dodaj przypisanie roli dla tożsamości zarządzanej.
Uwaga / Notatka
Propagacja uprawnień udzielonych tożsamości zarządzanej programu Fleet Manager może potrwać do 60 minut.
Przejdź do zasobu tożsamości zarządzanej.
Wybierz kartę Przypisania ról platformy Azure w obszarze nawigacji po lewej stronie zasobu tożsamości zarządzanej. Spowoduje to otwarcie okienka Przypisania ról platformy Azure .
Wybierz pozycję Dodaj przypisanie roli , aby otworzyć okienko Dodawanie przypisania roli i wprowadź:
Zakres — wybierz pozycję Grupa zasobów.
Subskrypcja — wybierz subskrypcję platformy Azure zawierającą grupę zasobów, której chcesz użyć.
Grupa zasobów — wybierz grupę zasobów.
Rola — wybierz rolę, którą chcesz przypisać do tożsamości zarządzanej (na przykład Współautor sieci).
Wybierz pozycję Zapisz , aby przypisać rolę do tożsamości zarządzanej.
Tworzenie programu Fleet Manager przy użyciu tożsamości zarządzanej przypisanej przez użytkownika
Uwaga / Notatka
Regiony USDOD Central, USDOD East i USGov Iowa w chmurze Azure US Government nie obsługują tworzenia usługi Fleet Manager z tożsamością zarządzaną przypisaną przez użytkownika.
Nie można utworzyć programu Fleet Manager z tożsamością zarządzaną przypisaną przez użytkownika w witrynie Azure Portal. Typ tożsamości Fleet Manager można zmienić na przypisany przez użytkownika po utworzeniu programu Fleet Manager lub użyć interfejsu wiersza polecenia platformy Azure.
Aktualizowanie istniejącego programu Fleet Manager w celu używania tożsamości zarządzanej przypisanej przez użytkownika
Tożsamość zarządzaną programu Fleet Manager można zarządzać przy użyciu bloku Tożsamość w sekcji Ustawienia programu Fleet Manager.
Przejdź do karty tożsamości zarządzanej przypisanej przez użytkownika, wybierając pozycję Przypisane przez użytkownika.
Wybierz pozycję + Dodaj , aby otworzyć okienko Dodawanie tożsamości zarządzanej przypisanej przez użytkownika .
- Subskrypcja — wybierz subskrypcję platformy Azure zawierającą tożsamość zarządzaną przypisaną przez użytkownika, której chcesz użyć.
- Tożsamości zarządzane przypisane przez użytkownika — wyszukaj tożsamość zarządzaną przypisaną przez użytkownika, której chcesz użyć.
Wybierz pozycję Dodaj , aby dodać tożsamość zarządzaną przypisaną przez użytkownika do usługi Fleet Manager.
Po kilku chwilach lista przypisana przez użytkownika zmieni się i zostanie wyświetlona tożsamość zarządzana przypisana przez użytkownika.
Określanie typu tożsamości zarządzanej w użyciu
Ustawienia tożsamości zarządzanej programu Fleet Manager można sprawdzić przy użyciu bloku Tożsamość w sekcji Ustawienia programu Fleet Manager.
Sprawdź sekcje Przypisane przez system i Użytkownik, aby określić, który typ tożsamości zarządzanej jest włączony.
Dalsze kroki
- Użyj szablonów usługi Azure Resource Manager , aby utworzyć zarządzaną usługę Fleet Manager z obsługą tożsamości.