你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Entra ID 和 Azure 基于角色的访问控制(Azure RBAC) 允许你在已启用 Azure Arc 的 Kubernetes 群集上控制授权检查。 将 Azure RBAC 与群集配合使用可提供 Azure 角色分配的优势,例如显示用户对 Azure 资源所做的更改的活动日志。
体系结构
若要以高分辨率下载体系结构图,请访问 Jumpstart Gems。
为了将所有授权访问检查路由到 Azure 中的授权服务,会在群集上部署 Webhook 服务器(guard)。
群集 apiserver 配置为使用 Webhook 令牌身份验证 和 Webhook 授权 ,以便将 TokenAccessReview 请求 SubjectAccessReview 路由到受保护的 Webhook 服务器。 TokenAccessReview 和 SubjectAccessReview 请求由发送到 apiserver 的 Kubernetes 资源的请求触发。
然后,临界子句对 Azure 中的授权服务进行 checkAccess 调用,以查看请求 Microsoft Entra 实体是否有权访问相关资源。
如果该实体具有允许此访问的角色,授权服务会向 Guard 发送一个 allowed 响应。 临界子句将 allowed 响应发送到 apiserver,并使调用实体能够访问请求的 Kubernetes 资源。
如果该实体没有允许这种访问的角色,则从要保护的授权服务发送 denied 响应。 临界子句向 apiserver 发送 denied 响应,在请求的资源上给调用实体一个 403 禁止的错误。
在已启用 Arc 的 Kubernetes 群集上启用 Azure RBAC
有关如何设置 Azure RBAC 并为群集创建角色分配的详细信息,请参阅 在已启用 Azure Arc 的 Kubernetes 群集上使用 Azure RBAC。
后续步骤
- 使用我们的快速入门将 Kubernetes 群集连接到 Azure Arc。
- 在已启用 Azure Arc 的 Kubernetes 群集上设置 Azure RBAC。
- 通过遵循已启用 Azure Arc 的 Kubernetes 安全手册中的指导,以其他方式帮助保护群集。