AKS için kimlik ve erişim yönetimiyle ilgili dikkat edilmesi gerekenler

Bu makalede, Azure Kubernetes Service (AKS) kullanırken kimlik ve erişim yönetimi için tasarımla ilgili önemli noktalar ve öneriler sağlanır. Kimlik ve erişim yönetiminin küme kimlikleri, iş yükü kimlikleri ve operatör erişimi gibi birçok yönü vardır.

Tasarımla ilgili dikkat edilecek noktalar

  • Hangi küme kimliğinin kullanılacağına (yönetilen kimlik veya hizmet sorumlusu) karar verin.
  • Küme erişiminin kimliğini doğrulamaya karar verin: istemci sertifikalarına göre veya Microsoft Entra Id aracılığıyla.
  • Çok kiracılı bir kümeye ve Kubernetes'te rol tabanlı erişim denetiminin (RBAC) nasıl ayarlanacağına karar verin.
    • Yalıtım için bir yöntem seçin. Yöntemler ad alanı, ağ ilkesi (Yalnızca Azure CNI tarafından izin verilir), işlem (düğüm havuzu) ve kümedir.
    • Yalıtım için uygulama ekibi başına Kubernetes RBAC rollerini ve işlem ayırmasını belirleyin.
    • Uygulama ekiplerinin kendi kümelerindeki veya diğer kümelerdeki diğer iş yüklerini okuyup okuyamayacağına karar verin.
  • AKS giriş bölgeniz için özel Azure RBAC rollerinin izinlerini belirleyin.
    • Bu rolün kümenin tamamını yönetmesini ve sorunlarını gidermesini sağlamak için site güvenilirlik mühendisliği (SRE) rolü için hangi izinlerin gerekli olduğuna karar verin.
    • SecOps için hangi izinlerin gerekli olduğunu belirleyin.
    • Giriş bölgesi sahibi için hangi izinlerin gerekli olduğunu belirleyin.
    • Uygulama ekiplerinin kümeye dağıtmak için hangi izinlere ihtiyaç duyacağına karar verin.
  • İş yükü kimliklerine (Microsoft Entra İş Yükü Kimliği) ihtiyacınız olup olmadığına karar verin. Azure Key Vault tümleştirmesi ve Azure Cosmos DB gibi hizmetler için bunlara ihtiyacınız olabilir.

Tasarım önerileri

  • Küme kimlikleri.
    • AKS kümeniz için kendi yönetilen kimliğinizi kullanın.
    • Kümeyle yönetilen kimlik için gerekli izinlerin yönetimini basitleştirmek için AKS giriş bölgeniz için özel Azure RBAC rolleri tanımlayın.
  • Küme erişimi.
    • Ayrıcalıkları sınırlamak ve yönetici ayrıcalıklarını en aza indirmek için Kubernetes RBAC'yi Microsoft Entra Id ile kullanın. Bunun yapılması yapılandırma ve gizli dizi erişiminin korunmasına yardımcı olur.
    • Kimlik doğrulaması, operatör ve geliştirici erişimi için Microsoft Entra Id kullanabilmeniz için AKS tarafından yönetilen Microsoft Entra tümleştirmesini kullanın.
  • Kubernetes'te gerekli RBAC rollerini ve rol bağlamalarını tanımlayın.
    • Site güvenilirlik mühendisliği (SRE), SecOps ve geliştirici erişimi için Microsoft Entra gruplarına Kubernetes rollerini ve rol bağlamalarını kullanın.
    • Azure kaynakları, AKS ve Kubernetes kaynakları arasında birleşik yönetim ve erişim denetimi sağlayan Kubernetes için Azure RBAC kullanmayı göz önünde bulundurun. Kubernetes için Azure RBAC etkinleştirildiğinde Kubernetes için kullanıcı kimliklerini ve kimlik bilgilerini ayrı ayrı yönetmeniz gerekmez. Microsoft Entra sorumluları yalnızca Azure RBAC tarafından doğrulanır, ancak normal Kubernetes kullanıcıları ve hizmet hesapları yalnızca Kubernetes RBAC tarafından doğrulanır.
  • Gerektiğinde SRE'ye tam zamanında erişim verin.
  • Kubernetes için Microsoft Entra İş Yükü Kimliği kullanın. Bu federasyonu uyguladığınızda, geliştiriciler Azure ve Microsoft Graph gibi Microsoft Entra Id tarafından yönetilen kaynaklara erişmek için yerel Kubernetes hizmet hesaplarını ve federasyonu kullanabilir.