Microsoft Entra ID 和 Azure 角色型存取控制 (Azure RBAC) 可讓您控制已啟用 Azure Arc 的 Kubernetes 叢集上的授權檢查。 搭配叢集使用 Azure RBAC 可讓您享有 Azure 角色指派的優點,例如活動記錄,顯示使用者對 Azure 資源所做的變更。
架構
若要以高解析度下載架構圖表,請流覽 Jumpstart Gems。
為了將所有授權存取檢查路由至 Azure 中的授權服務,Webhook 伺服器 (guard) 會部署在叢集上。
apiserver 叢集被配置為使用 Webhook 令牌驗證 和 Webhook 授權,以便將 TokenAccessReview 和 SubjectAccessReview 請求路由到防護 Webhook 伺服器。 TokenAccessReview 和 SubjectAccessReview 要求會由傳送至 apiserver 的 Kubernetes 資源要求所觸發。
接著,防護會對 Azure 中的授權服務發出 checkAccess 呼叫,以查看提出要求的 Microsoft Entra 實體是否有相關資源的存取權。
如果該實體具有允許此存取的角色,則會從授權服務中將 allowed 回應傳送給防護。 接著,防護會將 allowed 回應傳送給 apiserver,讓發出呼叫的實體能夠存取所要求的 Kubernetes 資源。
如果該實體沒有允許此存取的角色,則會從授權服務中將 denied 回應傳送給防護。 防護會將 denied 回應傳送給 apiserver,以針對所要求的資源向發出呼叫的實體提供 403 禁止錯誤。
在已啟用 Arc 的 Kubernetes 叢集上啟用 Azure RBAC
如需如何設定 Azure RBAC 併為您的叢集建立角色指派的詳細資訊,請參閱 在已啟用 Azure Arc 的 Kubernetes 叢集上使用 Azure RBAC。
後續步驟
- 使用我們的快速入門將 Kubernetes 叢集連線至 Azure Arc。
- 在已啟用 Azure Arc 的 Kubernetes 叢集上設定 Azure RBAC。
- 遵循已啟用 Azure Arc 的 Kubernetes 安全性書籍 (英文) 中的指導,協助以其他方式保護您的叢集。