Azure Arc özellikli Kubernetes kümelerine güvenli bir şekilde bağlanmak için küme bağlantısı kullanma

• Azure CLI'yi en son sürüme yükleyin veya güncelleştirin .

• Azure CLI uzantısının connectedk8s en son sürümünü yükleyin:

  az extension add --name connectedk8s
  

  Uzantıyı zaten yüklediyseniz uzantıyı connectedk8s en son sürüme güncelleştirin:

  az extension update --name connectedk8s
  

• Bu belgede kullanılan ortam değişkenlerini ayarlamak için yer tutucuları değiştirin ve aşağıdaki komutu çalıştırın:

  CLUSTER_NAME=<cluster-name>
  RESOURCE_GROUP=<resource-group-name>
  ARM_ID_CLUSTER=$(az connectedk8s show -n $CLUSTER_NAME -g $RESOURCE_GROUP --query id -o tsv)
  

• Azure PowerShell sürüm 6.6.0 veya üzerini yükleyin.

• Bu belgede kullanılan ortam değişkenlerini ayarlamak için yer tutucuları değiştirin ve aşağıdaki komutu çalıştırın:

  $CLUSTER_NAME = <cluster-name>
  $RESOURCE_GROUP = <resource-group-name>
  $ARM_ID_CLUSTER = (Get-AzConnectedKubernetes -ResourceGroupName $RESOURCE_GROUP -Name $CLUSTER_NAME).Id
  

1. objectId Microsoft Entra varlığınız ile ilişkili öğesini alın. Tek bir kullanıcı hesabı kullanıyorsanız, Microsoft Entra varlığınızla ilişkili kullanıcı asıl adını (UPN) alın.

   • Microsoft Entra grup hesabı için:

    AAD_ENTITY_ID=$(az ad signed-in-user show --query id -o tsv)
   

   • Microsoft Entra tek kullanıcı hesabı için:

     AAD_ENTITY_ID=$(az ad signed-in-user show --query userPrincipalName -o tsv)
     

   • Microsoft Entra uygulaması için:

     AAD_ENTITY_ID=$(az ad sp show --id <id> --query id -o tsv)
     

2. Varlığa uygun izinlerle yetki verin.

   • Kümede yetkilendirme denetimleri için Kubernetes yerel ClusterRoleBinding veya RoleBinding kullanıyorsanız, kubeconfig dosya doğrudan erişim için kümenizin üzerine geliyorsa apiserver , bu kümeye erişmesi gereken Microsoft Entra varlığıyla (hizmet sorumlusu veya kullanıcı) eşlenmiş bir tane oluşturabilirsiniz. Örneğin:

     kubectl create clusterrolebinding demo-user-binding --clusterrole cluster-admin --user=$AAD_ENTITY_ID
     

   • Kümede yetkilendirme denetimleri için Azure RBAC kullanıyorsanız, Microsoft Entra varlığına eşlenmiş uygun bir Azure rol ataması oluşturabilirsiniz. Örneğin:

     az role assignment create --role "Azure Arc Kubernetes Viewer" --assignee $AAD_ENTITY_ID --scope $ARM_ID_CLUSTER
     az role assignment create --role "Azure Arc Enabled Kubernetes Cluster User Role" --assignee $AAD_ENTITY_ID --scope $ARM_ID_CLUSTER
     

1. objectId Microsoft Entra varlığınız ile ilişkili öğesini alın. Tek bir kullanıcı hesabı kullanıyorsanız, Microsoft Entra varlığınızla ilişkili kullanıcı asıl adını (UPN) alırsınız.

   • Microsoft Entra grup hesabı için:

     $AAD_ENTITY_ID = (az ad signed-in-user show --query id -o tsv)
     

   • Microsoft Entra tek kullanıcı hesabı için:

     $AAD_ENTITY_ID = (az ad signed-in-user show --query userPrincipalName -o tsv)
     

   • Microsoft Entra uygulaması için:

     $AAD_ENTITY_ID = (az ad sp show --id <id> --query objectId -o tsv)
     

2. Varlığa uygun izinlerle yetki verin.

   • Kümede yetkilendirme denetimleri için yerel Kubernetes ClusterRoleBinding veya RoleBinding kullanıyorsanız, kubeconfig dosya doğrudan erişim için kümenizin üzerine geliyorsa apiserver , bu kümeye erişmesi gereken Microsoft Entra varlığıyla (hizmet sorumlusu veya kullanıcı) eşlenmiş bir tane oluşturabilirsiniz. Örneğin:

     kubectl create clusterrolebinding demo-user-binding --clusterrole cluster-admin --user=$AAD_ENTITY_ID
     

   • Kümede yetkilendirme denetimleri için Azure RBAC kullanıyorsanız, Microsoft Entra varlığına eşlenmiş uygun bir Azure rol ataması oluşturabilirsiniz. Örneğin:

     
     az role assignment create --role "Azure Arc Kubernetes Viewer" --assignee $AAD_ENTITY_ID --scope $ARM_ID_CLUSTER
     az role assignment create --role "Azure Arc Enabled Kubernetes Cluster User Role" --assignee $AAD_ENTITY_ID --scope $ARM_ID_CLUSTER
     

1. kubeconfig Dosya Kubernetes kümenizin üzerine gelin apiserver ve bir hizmet hesabı oluşturmak için bu komutu çalıştırın. Bu örnek, hizmet hesabını varsayılan ad alanında oluşturur, ancak yerine defaultbaşka bir ad alanı kullanabilirsiniz.

   kubectl create serviceaccount demo-user -n default
   

2. Bu hizmet hesabına küme üzerinde uygun izinleri vermek için ClusterRoleBinding oluşturun. İlk komutta farklı bir ad alanı kullandıysanız, yerine buraya defaultyazın.

   kubectl create clusterrolebinding demo-user-binding --clusterrole cluster-admin --serviceaccount default:demo-user
   

3. Hizmet hesabı belirteci oluşturma:

   kubectl apply -f - <<EOF
   apiVersion: v1
   kind: Secret
   metadata:
     name: demo-user-secret
     annotations:
       kubernetes.io/service-account.name: demo-user
   type: kubernetes.io/service-account-token
   EOF
   

   TOKEN=$(kubectl get secret demo-user-secret -o jsonpath='{$.data.token}' | base64 -d | sed 's/$/\n/g')
   

4. Konsola çıkış yapmak için belirteci alma

   echo $TOKEN
   

1. kubeconfig Dosya Kubernetes kümenizin üzerine gelin apiserver ve bir hizmet hesabı oluşturmak için bu komutu çalıştırın. Bu örnek, hizmet hesabını varsayılan ad alanında oluşturur, ancak yerine defaultbaşka bir ad alanı kullanabilirsiniz.

   kubectl create serviceaccount demo-user -n default
   

2. Bu hizmet hesabına küme üzerinde uygun izinleri vermek için ClusterRoleBinding veya RoleBinding oluşturun. İlk komutta farklı bir ad alanı kullandıysanız, yerine buraya defaultyazın.

   kubectl create clusterrolebinding demo-user-binding --clusterrole cluster-admin --serviceaccount default:demo-user
   

3. Hizmet hesabı belirteci oluşturun. Aşağıdaki içeriğe sahip bir demo-user-secret.yaml dosya oluşturun:

   apiVersion: v1
   kind: Secret
   metadata:
     name: demo-user-secret
     annotations:
       kubernetes.io/service-account.name: demo-user
   type: kubernetes.io/service-account-token
   

   Ardından şu komutları çalıştırın:

   kubectl apply -f demo-user-secret.yaml
   

   $TOKEN = ([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String((kubectl get secret demo-user-secret -o jsonpath='{$.data.token}'))))
   

4. Konsola çıkış yapmak için belirteci alın.

   echo $TOKEN
   

Kubernetes kümesine istekler yaparken, kullanılan Microsoft Entra varlığı 200'den fazla grubun parçasıysa aşağıdaki hatayı görebilirsiniz:

You must be logged in to the server (Error:Error while retrieving group info. Error:Overage claim (users with more than 200 group membership) is currently not supported.

Bu bilinen bir sınırlamadır. Bu hatayı geçmek için:

1. 200'den fazla grubun üyesi olma olasılığı daha düşük olan bir hizmet sorumlusu oluşturun.
2. Komutunu çalıştırmadan önce hizmet sorumlusuyla Azure CLI'da az connectedk8s proxy oturum açın.

Kubernetes kümesine istekler yaparken, kullanılan Microsoft Entra hizmet sorumlusu 200'den fazla grubun parçasıysa aşağıdaki hatayı görebilirsiniz:

Overage claim (users with more than 200 group membership) for SPN is currently not supported. For troubleshooting, please refer to aka.ms/overageclaimtroubleshoot

Bu bilinen bir sınırlamadır. Bu hatayı geçmek için:

1. 200'den fazla grubun üyesi olma olasılığı daha düşük olan bir hizmet sorumlusu oluşturun.
2. Komutunu çalıştırmadan önce hizmet sorumlusuyla Azure CLI'da az connectedk8s proxy oturum açın.