Журналы, связанные с удостоверением модуля Azure AAD, на портале Azure.

Question

Журналы, связанные с удостоверением модуля Azure AAD, на портале Azure.

Я попытался использовать удостоверение модуля Azure AAD и привязать к нему управляемое удостоверение. Затем я использовал этот идентификатор модуля для выполнения некоторых действий с ресурсами Azure, таких как создание группы ресурсов. Судя по аналитике журнала, запись журнала содержит только информацию о том, что это действие выполняется вызывающим абонентом с идентификатором объекта управляемого удостоверения. Предположим, что теперь есть два идентификатора модуля, привязанные к одному и тому же MI, есть ли способ различать их в аналитике журнала?

Изменить: у нас нет информации о временной метке действия, а callerIpAddress в этих записях журнала одинаковы, потому что они находятся в одном и том же кластере aks.

0

azure azure-aks aad-pod-identity

Источник

user13643099 03 май '22 в 05:36

1 ответ

Другие вопросы по тегам azure azure-aks aad-pod-identity

user16526895 09 май '22 в 08:49 2022-05-09 08:49 · Answer 1 · 2022-05-09 08:49

• В соответствии с указанными ограничениями NMI (Node Managed Identity) или , как вы можете сказать, идентификатора модуля, идентификатор модуля изменяет таблицы IP для перехвата вызовов к Azure Instance Metadata endpoint. Эта конфигурация означает, что любой запрос к конечной точке метаданных перехватывается NMI, даже если модуль не использует aad-pod-identity . Таким образом, поскольку управляемое удостоверение , назначенное модулю, перехватывает запросы, сделанные к конечной точке метаданных экземпляра Azure , вам придется настроить его так, чтобы он соответствовал меткам, определенным ранее в нем, и должен передаваться через прокси без какой-либо обработки в нем.

• Системные блоки с kubernetes.azure.com/managedby: aksметку в пространстве имен kube-system следует исключить из aad-pod-identity, настроив параметр AzurePodIdentityException CRD. Следовательно, вы должны иметь возможность различать и идентифицировать запросы от любого модуля на основе label configuration in CRD. Кроме того, когда модуль запрашивает токен у IMDS endpoint, ему не нужно указывать идентификатор, который автоматически определяется NMI на основе привязки идентификатора в спецификации модуля для модуля, делающего запрос.

Для получения дополнительной информации об этом, я бы посоветовал вам перейти по ссылкам ниже: -

Сравнение управляемого удостоверения Azure Kubernetes и удостоверений модуля AAD

https://docs.microsoft.com/en-us/azure/aks/use-managed-identity#limitations