Azure Arc özellikli Kubernetes kümelerine küme bağlantısı erişimi

  • Makale

Azure Arc özellikli Kubernetes küme bağlantısı özelliği, güvenlik duvarında apiserver herhangi bir gelen bağlantı noktasının etkinleştirilmesine gerek kalmadan kümeye bağlantı sağlar. Kümede çalışan ters ara sunucu aracısı, Azure Arc hizmetiyle giden bir şekilde güvenli bir şekilde oturum başlatabilir.

Küme bağlantısı, geliştiricilerin etkileşimli geliştirme ve hata ayıklama için kümelerine her yerden erişmesine olanak tanır. Ayrıca, küme kullanıcılarının ve yöneticilerinin kümelerine her yerden erişmesine veya kümelerini yönetmesine olanak tanır. Şirket içinde barındırılan aracılara gerek kalmadan uygulamaları şirket içi kümelere dağıtmak için Azure Pipelines, GitHub Actions veya diğer barındırılan CI/CD hizmetinin barındırılan aracılarını/çalıştırıcılarını bile kullanabilirsiniz.

Mimari

Küme bağlantısı mimarisini gösteren diyagram.

Küme tarafında aracı Helm grafiğinin bir parçası olarak dağıtılan adlı clusterconnect-agentters ara sunucu aracısı, oturumu oluşturmak için Azure Arc hizmetine giden çağrılar yapar.

Kullanıcı çağırdığında az connectedk8s proxy:

  1. Azure Arc ara sunucusu ikili dosyası indirilir ve istemci makinede işlem olarak yüklenir.
  2. Azure Arc proxy'si, üzerinde çağrılan Azure Arc özellikli Kubernetes kümesiyle az connectedk8s proxy ilişkilendirilmiş bir kubeconfig dosya getirir.
    • Azure Arc proxy'si, çağıranın Azure erişim belirtecini ve Azure Resource Manager Kimliği adını kullanır.
  3. kubeconfig Azure Arc ara sunucusu tarafından makineye kaydedilen dosya, sunucu URL'sini Azure Arc ara sunucusu işlemindeki bir uç noktaya gösterir.

Kullanıcı bu kubeconfig dosyayı kullanarak bir istek gönderdiğinde:

  1. Azure Arc proxy'si, isteği alan uç noktayı Azure Arc hizmetine eşler.
  2. Azure Arc hizmeti daha sonra isteği kümede çalışana clusterconnect-agent iletir.
  3. isteği clusterconnect-agent bileşene kube-aad-proxy geçirir ve bu bileşen, çağıran varlıkta Microsoft Entra kimlik doğrulamasını gerçekleştirir.
  4. Microsoft Entra kimlik doğrulamasından sonra, kube-aad-proxy isteği kümenin apiserveröğesine iletmek için Kubernetes kullanıcı kimliğine bürünme özelliğini kullanır.

Sonraki adımlar