AKS クラスターディスカバリー構成の詳細<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: block; max-width: ; width: auto; height: auto; } } この KB はディスカバリーより前に有効であり、パターンストアアプリのバージョンは「1.18.0 - 2024 年 8 月」バージョンです。 前提条件: Azure CLI は MID サーバーインスタンスにインストールする必要があります。Azure CLI では、Azure サービス プリンシパル アカウントの資格情報を使用して、AKS クラスターにアクセスするためのアクセス許可を持つ資格情報を構成する必要があります。詳細については、「 Azure CLI でサインインする」を参照してください。 Kubernetesクラスタへのアクセスを認証、認可、保護、制御するには、さまざまな方法があります。 Kubernetes ロールベースのアクセス制御 (Kubernetes RBAC) を使用すると、ユーザー、グループ、サービスアカウントに必要なリソースのみへのアクセス権を付与できます。Azure Kubernetes Service (AKS) を使用すると、Azure Active Directory と Azure RBAC を使用して、セキュリティとアクセス許可の構造をさらに強化できます。 Azure Active Directory と Azure RBAC または Azure Active Directory と Kubernetes RBAC。 1.Kubernetes RBAC のみを使用した認可 Azure 認証情報ユーザーは、すべての読み取り権限を持つ Kubernetes クラスタークラスターロール (例:cluster-read-only-role) を使用してロールバインディングをクラスター化する必要があります。 クラスターロールの作成例: apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: cluster-read-only-role rules: - apiGroups: ["*"] resources: ["*"] verbs: ["get","watch","list"] - nonResourceURLs: - /metrics verbs: - get 詳細については、「 Kubernetes RBAC 承認の使用 」を参照してください。 2.Kubernetes RBAC と Azure RBAC の両方を使用した承認 クラスター ロール バインド (上記の「手順 #1:Kubernetes RBAC のみを使用した承認」で説明した) と Azure Kubernetes Service RBAC リーダー を加えます。 参照 - https://learn.microsoft.com/en-us/azure/aks/concepts-identity#azure-rbac-for-kubernetes-authorization 3.Azure Active Directory と Azure RBAC または Azure Active Directory と Kubernetes RBAC を使用した承認。 AKS クラスター バージョン >1.24 の場合、認証は Azure Active Directory と Azure RBAC または Azure Active Directory と Kubernetes RBAC として設定されます。 Kubernetes クラスターの Azure マネージド ID 認証を有効にする方法については、次のドキュメントを参照してください。 https://learn.microsoft.com/en-us/azure/aks/enable-authentication-microsoft-entra-id 内部的には、Kubernetes パターンはコマンド "az aks get-credentials" を実行して、名前空間、POD、サービス、その他のクラスターリソースなどの kubernetes API 呼び出しのベアラートークンを生成します。 コマンド 1: 'az aks get-credentials --name '+name+' --overwrite-existing --resource-group '+resGrp+' --file -' "az aks get-credentials" コマンドを使用すると、AKS クラスターのアクセス資格情報を取得し、それらを kubeconfig ファイルにマージできます。 注:上記のコマンドでは、Azure Active Directory 統合を使用するクラスターに「Azure Kubernetes Service クラスター Admin」ロールが必要です。 https://learn.microsoft.com/en-us/cli/azure/aks?view=azure-cli-latest#az-aks-get-credentials を参照してください。 次のコマンドは、 command 1 ベアラートークンの生成に失敗した場合に実行されます。 コマンド 2: az account get-access-token --resource 6dae42f8-4368-4678-94ff-3960e28e3630 注: 6dae42f8-4368-4678-94ff-3960e28e3630 は、Azure Kubernetes Service AAD Server applicationID です。 注意: Kubernetes ディスカバリーのための自動サーバーレススケジュールクリエーターの詳細については、「 KB1080155 」を参照してください。