Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln får du lära dig mer om hanterade identiteter och hur du använder dem för att styra eller aktivera åtkomst till Azure-resurser.
Viktigt!
För närvarande erbjuds den här Azure Red Hat OpenShift-funktionen endast som förhandsversion. Förhandsversionsfunktioner är tillgängliga via självbetjäning och opt-in. Förhandsversioner tillhandahålls "som är" och "som tillgängliga" och undantas från serviceavtalen och den begränsade garantin. Förhandsversioner av Azure Red Hat OpenShift omfattas delvis av kundsupport på bästa sätt. De här funktionerna är inte avsedda för produktionsanvändning.
Vad är hanterade identiteter?
Hanterade identiteter är tjänstens huvudnamn av en särskild typ, som kan användas för att styra eller aktivera åtkomst till Azure-resurser. De bidrar till att minska risken för säkerhetsöverträdelser genom att eliminera behovet av att manuellt hantera autentiseringsuppgifter, certifikat, nycklar eller hemligheter. Ett program (eller en tjänst) använder Microsoft Entra-ID-autentisering för att begära tillfälliga, begränsade autentiseringsuppgifter för behörighet för att få åtkomst till andra Azure-tjänster. Mer information om hanterade identiteter i Azure finns i Vad är hanterade identiteter för Azure-resurser.
I Azure Red Hat OpenShift används termen arbetsbelastningsidentitet för att representera ett program eller en arbetsbelastning som körs i klustret som kräver åtkomst till Azure-tjänster. Mer information finns i dokumentationen för Vad är arbetsbelastningsidentiteter?.
Hanterade identiteter och arbetsbelastningsidentiteter hjälper till att minimera risken vid skydd av arbetsbelastningar och program genom att tillhandahålla kortlivade token i stället för långlivade autentiseringsuppgifter, till exempel ett tjänsthuvudnamn med autentiseringsuppgifter för klienthemligheter. Den här metoden ger en säkrare autentiseringsmetod för program om autentiseringsuppgifterna skulle komprometteras på grund av följande faktorer:
- Kort varaktighet för autentiseringsuppgifterna.
- Förfinad minimal uppsättning behörigheter, principen om minsta behörighet. Behörigheterna är endast begränsade till vad arbetsbelastningen behöver och endast till de resurser som krävs för att utföra uppgiften.
Förstå arkitektur för identitetsrolltilldelning
Azure Red Hat OpenShift består av kärnoperatorer. Kärnoperatorer är automatiserade styrenheter som ansvarar för att hantera en Azure Red Hat OpenShift-klusterkärninfrastruktur och säkerställa dess stabilitet och driftshälsa. En operatör hanterar uppgifter som: distribuera och underhålla kontrollplanskomponenter, hantera klusteruppdateringar, övervaka nätverk och se till att viktiga tjänster på klusternivå körs korrekt.
I ett Azure Red Hat OpenShift-kluster med stöd för hanterad identitet tilldelas kärnoperatorer behörigheter från motsvarande användartilldelade hanterade identiteter. En användartilldelad hanterad identitet måste associeras med var och en av de sju centrala Red Hat OpenShift-operatorerna och Azure Red Hat OpenShift-tjänstoperatören. Azure Red Hat OpenShift-operatorerna är:
- OpenShift Image Registry Operator (bild-register)
- OpenShift Nätverksoperatör (cloud-network-config)
- OpenShift Disk Storage Operator (disk-csi-driver)
- OpenShift Filhanteringsoperatör (file-csi-driver)
- OpenShift-kluster ingångsoperator (ingress)
- OpenShift Cloud Controller Manager (cloud-controller-manager)
- OpenShift Machine API Operatör (machine-api)
- Azure Red Hat OpenShift Service Operator (aro-operator) - en tjänst från Microsoft för att hantera OpenShift-kluster.
Azure Red Hat OpenShift-klustret kräver ytterligare en användartilldelad hanterad identitet. Den ytterligare användartilldelade hanterade identiteten används för att aktivera användning av de åtta centrala hanterade identiteterna för Azure Red Hat OpenShift-operatören och utföra skapande av federerade autentiseringsuppgifter för alla hanterade identiteter. Den ytterligare hanterade identiteten är Azure Red Hat OpenShift Cluster Identity (aro-cluster). Mer information om Red Hat OpenShift-klusteroperatorer finns i Referens för klusteroperatorer.
Följande bild visar relationen mellan hanterade identiteter och rolltilldelning. Tal tilldelas till de hanterade identiteterna för att demonstrera rolltilldelning i bild tre.
Bild 1 – Roller och användartilldelade identiteter (alla diagram är endast illustrativa)
Inbyggda Azure-roller för Azure Red Hat OpenShift
Specifika inbyggda Azure Red Hat OpenShift-roller ger de nödvändiga behörigheterna till de hanterade identiteter som stöds för att aktivera klusteråtgärder. De här rollerna följer Azures modell genom att erbjuda en standardiserad behörighetsuppsättning för en vanlig jobbfunktion. De inbyggda Azure-rollerna som stöds är:
- Azure Red Hat OpenShift Cloud Controller Manager
- Ingressoperator för Azure Red Hat OpenShift-kluster
- Azure Red Hat OpenShift Disk Storage-operatör
- Azure Red Hat OpenShift Federerade autentiseringsuppgifter
- Azure Red Hat OpenShift-fillagringsoperatör
- Azure Red Hat OpenShift Image Registry-operatör
- Azure Red Hat OpenShift Machine API-operatör
- Azure Red Hat OpenShift-nätverksoperatör
- Azure Red Hat OpenShift-tjänstoperatör
En detaljerad beskrivning av de inbyggda Azure Red Hat OpenShift-rollerna finns i Inbyggda Roller i Azure.
Rolltilldelningsomfång
En Azure Red Hat OpenShift-distribution kräver att ett virtuellt nätverk med minst två tomma undernät (ett för kontrollplansnoder och det andra för arbetsnoder) finns i en resursgrupp. I följande bild 2-exempel kallas den här resursgruppen nätverksresursgruppen.
Bild 2 –
Ett Azure Red Hat OpenShift-kluster med hanterade identiteter kräver att användartilldelade hanterade identiteter skapas med motsvarande rolltilldelningar. Följ stegen för att skapa ett Azure Red Hat OpenShift-kluster med hanterade identiteter aktiverade. När du har skapat ett Azure Red Hat OpenShift-kluster ser rolltilldelningarna i nätverksresursgruppen ut som i följande exempel i Bild 3.
Bild 3 – Rolltilldelningar på nätverksobjekt
Identitetsrolltilldelningarna utförs med så begränsat omfång som möjligt. De flesta hanterade identiteter finns i de specifika undernät som krävs, medan nätverksoperatören, avbildningsregistret och Azure File Storage-operatorn, som kräver behörigheter för det virtuella nätverket, utförs i vNet-omfånget.
Det finns en annan tilldelning som inte visas i bild 3:
- Klusteridentitet – Den här tilldelningen anges på själva de andra identiteterna för att kunna skapa de federerade autentiseringsuppgifterna för de komponenter som ska fungera.
Rolltilldelningsomfången visas i följande bild .
Bild 4 – Rolltilldelningar
Överväganden
När du använder hanterade identiteter och följer principerna för lägsta behörighet ger det många fördelar. Det finns dock vissa överväganden eller kompromisser att tänka på.
Eftersom rolltilldelningar bör ske med minsta möjliga omfång kommer det att finnas fler rolltilldelningar. När du utför tilldelningar i undernätets omfång, om det finns fler undernät som används av klustret, som att separera arbetsbelastningar i olika undernät, måste rolltilldelningarna även ske på dessa undernät.
Eftersom Azure har en gräns på 4 000 rolltilldelningar per prenumeration kan du överväga att utföra rolltilldelningarna på en högre nivå (till exempel det virtuella nätverket eller resursgruppen om gränsen är ett problem). Tänk på dina säkerhetsprinciper och Azure-arvshierarkin, som kan ge dig behörighet till oavsiktliga resurser. Om du till exempel gör en rolltilldelning i resursgruppen, ger det den identiteten åtkomst till varje objekt i resursgruppen. Mer information finns i Förstå omfång
Viktigt!
När du utför rolltilldelningar på högre nivå, till exempel virtuellt nätverk eller resursgrupp, kan du ge behörighet till oavsiktliga resurser.
Beroende på vilket omfång du bestämmer dig för att utföra rolltilldelningarna på skiljer sig det totala antalet rolltilldelningar åt. Följande är det totala antalet rolltilldelningar för en grundläggande klusterinstallation, beroende på vilket omfång som väljs för att utföra rolltilldelningarna:
- Undernätsomfång: 28 (11 på nätverksobjekt + 8 på hanterade identiteter + 8 i den hanterade resursgruppen + 1 för resursprovidern)
- Omfång för virtuellt nätverk: 24 (7 på nätverksobjekt + 8 på hanterade identiteter + 8 i den hanterade resursgruppen + 1 för resursprovidern)
- Omfång för nätverksresursgrupp: 17 (8 i nätverksresursgruppen + 8 på den hanterade resursgruppen + 1 för resursprovidern) (förutsatt att de hanterade identiteterna finns i samma nätverksresursgrupp)
- Det kan finnas fler tilldelningar på valfria komponenter/funktioner
- +4 för varje tillagt undernät
- +4 om du använder Byo(Bring Your Own) Network Security Group (NSG)
- +3 om du använder routningstabell
- +2 om du använder NAT-gateway
Eftersom Drivrutinen för Azure Files Container Storage Interface (CSI) fortfarande har ett beroende av nycklar för delad åtkomst inaktiveras Standard Azure File StorageClass i kluster med hanterad/arbetsbelastningsidentitet aktiverad som standard och är valfri att aktivera för klustret. Om du vill använda Azure File i Azure Red Hat OpenShift skapar du din egen StorageClass för att använda delade nycklar för att få åtkomst till lagringen. Mer information finns i Konfigurera en Azure File StorageClass.
När du uppdaterar klustret kontrollerar du att du anger anteckningen
upgradeable-topå klustrets CloudCredential-resurs. Mer information finns i Uppdatera ett Azure Red Hat OpenShift-kluster med hanterade identiteter aktiverade.