Microsoft Entra ID 및 Azure RBAC(Azure 역할 기반 액세스 제어) 를 사용하면 Azure Arc 지원 Kubernetes 클러스터에서 권한 부여 검사를 제어할 수 있습니다. 클러스터와 함께 Azure RBAC를 사용하면 사용자가 Azure 리소스에 변경한 내용을 보여주는 활동 로그와 같은 Azure 역할 할당의 이점을 얻을 수 있습니다.
아키텍처
아키텍처 다이어그램을 고해상도로 다운로드하려면 Jumpstart Gems를 방문하세요.
모든 권한 부여 액세스 검사를 Azure의 권한 부여 서비스로 라우팅하기 위해 웹후크 서버(가드)가 클러스터에 배포됩니다.
클러스터의 apiserver는 및 요청이 가드 웹후크 서버로 라우팅되도록 TokenAccessReview 및 SubjectAccessReview를 사용하도록 구성됩니다.
TokenAccessReview 및 SubjectAccessReview 요청은 apiserver로 전송되는 Kubernetes 리소스에 대한 요청에 의해 트리거됩니다.
그런 다음, 가드는 Azure의 권한 부여 서비스에서 checkAccess를 호출하여 요청 Microsoft Entra 엔터티가 관심 있는 리소스에 액세스할 수 있는지 확인합니다.
해당 엔터티에 이 액세스를 허용하는 역할이 있는 경우 보호를 위해 권한 부여 서비스에서 allowed 응답이 전송됩니다. 가드는차례로 allowed에 apiserver 응답을 전송하여 호출 엔터티가 요청된 Kubernetes 리소스에 액세스할 수 있도록 합니다.
엔터티에 이 액세스를 허용하는 역할이 없으면 보호를 위해 권한 부여 서비스에서 denied 응답이 전송됩니다. 가드는 denied 응답을 apiserver으로 보내, 호출 엔티티에 요청된 리소스에 대한 403 forbidden 오류를 제공합니다.
Arc 지원 Kubernetes 클러스터에서 Azure RBAC 사용
Azure RBAC를 설정하고 클러스터에 대한 역할 할당을 만드는 방법에 대한 자세한 내용은 Azure Arc 지원 Kubernetes 클러스터에서 Azure RBAC 사용을 참조하세요.
다음 단계
- 빠른 시작을 사용하여 Kubernetes 클러스터를 Azure Arc에 연결합니다.
- Azure Arc 지원 Kubernetes 클러스터에서 Azure RBAC를 설정합니다.
- Azure Arc 지원 Kubernetes에 대한 보안 설명서의 지침에 따라 다른 방법으로 클러스터를 보호하는 데 도움이 됩니다.