Managed Identity

1. Managed Identity Jak bezpiecznie połączyć AKS z innymi zasobami Azure?

2. Agnieszka Cent AzureCommunityPL https://www.linkedin.com/company/microsoft-azure-user- group-poland #azure-solutions-architect

3. Agenda Czym jest Managed Identity? Azure bez Managed Identity Jak wyjąć Managed Identity z pudełka i zacząć używać? Co Managed Identity ma do AKS? Czym jest aad-pod- identities? 1 2 3 4 5

4. Czy istnieje system bezpieczny w 100%?

5. Świat bez Managed Identity connectionString oraz klucze przechowywanie kluczy tworzenie kluczy i zarządzanie nimi Wyzwania:

6. Świat bez Managed Identity Wykorzystanie Azure Active Directory Daje nam dużo większe bezpieczeństwo, ale nadal musimy przechowywać dane do uwierzytelniania

7. Czemu? nie trzeba zarządzać poświadczeniami nie wprowadzają dodatkowych kosztów można wykorzystać ze wszystkimi zasobami, które umożliwiają uwierzytelnianie przez AAD Azure Instance Metadata Service (IMDS) Wykorzystywany do zarządzania i konfigurowania VM i VMSS. Dostępne przez RESTowe API pod niezmiennym adresem 169.254.169.254. Posiada endpoint /metadata/identity wykorzystywany przez MI Wspierane zasoby https://docs.microsoft.com/en-us/azure/active- directory/managed-identities-azure- resources/services-support-managed-identities Managed Identity (MI) Kiedyś znane pod starą nazwą Managed Service Identity (MSI)

8. Jak działa Managed Identity?

9. WebApp + ServiceBus

10. System-assigned Managed Identity połączony z konkretnym zasobem Azure (MI jest kasowane razem z zasobem) nie jest współdzielony z innymi zasobami User-assigned Managed Identity osobny zasób w Azure, nie jest kasowany razem z powiązanymi zasobami może być przypisany do wielu zasobów w Azure

11. Baza secrets w AKS Azure KeyVault

12. Managed Identity dla AKS "systemowe" działa na poziomie klastra wykorzystywane do: - ustawień sieciowych - VNet -Load Balancer "aplikacyjne" działa na poziomie node'a wykorzystywane do: - zasobów, których potrzebują aplikacje działające na podach kubelet - mała aplikacja, która działa na nodzie i odpowiada za to, żeby kontenery działały na podach

13. MI "systemowe" Service Principal Managed Identity AKS do komunikacji z Azure potrzebuje jednej z dwóch rzeczy: Service Principal musi być podany podczas tworzenia klastra - inaczej zostanie stworzony i przypisany automatycznie. SP potrzebuje dobrego zarządzania i rotowania Managed Identity jest nakładką na SP. Rotacja następuje automatycznie co 46 dni.

14. az aks show -g <ResourceGroup> -n <Cluster> --query "servicePrincipalProfile" az aks show -g <ResourceGroup> -n <Cluster> --query "identity" az aks create -g <ResourceGroup> -n <Cluster> --enable-managed-identity Jak stworzyć klaster z MI? Jak sprawdzić MI na klastrze?

15. MI "aplikacyjne" aad-pod-identity https://github.com/Azure/aad- pod-identity

16. Node Managed Identity (NMI) odpowiada za rutowanie ruchu aplikacji do IMDS, wykorzystując iptables Pod prosi NMI o token NMI sprawdza cache AzureAssignedIdentity czy posiada tożsamość dla tego Poda NMI prosi IMDS o token token wraca do Poda - aplikacja może komunikować się z zasobem Azure 1. 2. 3. 4.

17. Custom Resource Definitions AzureIdentity AzureIdentityBinding

18. AKS + ServiceBus

19. do 200 tożsamości w klastrze AKS do 2000 przypisań ról w subskrypcji co zrobić z poświadczeniami dla zewnętrznych dostawców? jak dobrze wykorzystać role (RBAC): Managed Identity Contributor (Create, Read, Update, and Delete User Assigned Identity) Managed Identity Operator (Read and Assign User Assigned Identity) czy doczekamy się czasów, że wykorzystanie MI dla AKS będzie tak proste jak dla AppService? Ograniczenia & elementy do rozważenia

20. Pytania? /Agnieszka-Cent /AgnieszkaCent /aryll /company/microsoft-azure-user-group-poland /azurecommunitypl /AzureCommunityPL

Managed Identity

Vous êtes en train de lire un aperçu.

Consultez-les par la suite

Managed Identity

Plus De Contenu Connexe

Similaire à Managed Identity (13)

Plus récents (20)

Managed Identity