gMSA ve službě Azure Kubernetes Service
Skupinové účty spravované služby (gMSA) je možné použít ve službě Azure Kubernetes Service (AKS) k podpoře aplikací, které vyžadují službu Active Directory pro účely ověřování. Konfigurace gMSA v AKS vyžaduje, abyste správně nastavili následující služby a nastavení: AKS, Azure Key Vault, Active Directory, specifikace přihlašovacích údajů atd. Pokud chcete tento proces zjednodušit, můžete použít následující modul PowerShellu. Tento modul byl přizpůsoben pro zjednodušení procesu konfigurace gMSA v AKS odstraněním složitosti nastavení různých služeb.
Požadavky na prostředí
K nasazení gMSA v AKS budete potřebovat následující:
- Cluster AKS s uzly Windows je spuštěný. Pokud cluster AKS ještě nemáte připravený, projděte si dokumentaci ke službě Azure Kubernetes Service.
- Váš cluster musí být autorizovaný pro gMSA v AKS. Další informace najdete v tématu Povolení skupinových účtů spravované služby (GMSA) pro uzly Windows Serveru v clusteru Azure Kubernetes Service (AKS).
- Prostředí Active Directory je správně nakonfigurované pro gMSA. Podrobnosti o tom, jak nakonfigurovat doménu, najdete níže.
- Uzly Windows v AKS musí být schopny připojit se k řadičům domény Active Directory.
- Přihlašovací údaje domény služby Active Directory s delegovanou autorizací pro nastavení gMSA a standardního uživatele domény Tento úkol lze delegovat autorizovaným osobám (v případě potřeby).
Instalace gMSA v modulu PowerShellu AKS
Začněte tím, že si z galerie PowerShellu stáhnete modul PowerShellu:
Install-Module -Name AksGMSA -Repository PSGallery -Force
Poznámka
Modul gMSA v AKS PowerShellu se neustále aktualizuje. Pokud jste předtím spustili kroky v tomto kurzu a teď se vracíte zpět k novým konfiguracím, nezapomeňte modul aktualizovat na nejnovější verzi. Další informace o modulu najdete na stránce galerie prostředí PowerShell .
Požadavky na moduly
GMSA na modulu AKS PowerShellu závisí na různých modulech a nástrojích. Pokud chcete nainstalovat tyto požadavky, spusťte v relaci se zvýšenými oprávněními následující příkaz:
Install-ToolingRequirements
Přihlaste se pomocí přihlašovacích údajů Azure.
Abyste mohli správně nakonfigurovat cluster AKS, musíte být přihlášeni k Azure pomocí svých přihlašovacích údajů pro gMSA v modulu AKS PowerShellu. Pokud se chcete přihlásit k Azure přes PowerShell, spusťte následující příkaz:
Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"
Musíte se také přihlásit pomocí Azure CLI, protože modul PowerShellu také používá toto prostředí na pozadí:
az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"
Nastavení požadovaných vstupů pro gMSA v modulu AKS
V rámci konfigurace gMSA v AKS bude potřeba mnoho vstupů, například: název vašeho clusteru AKS, název skupiny prostředků Azure, oblast pro nasazení potřebných prostředků, název domény služby Active Directory a mnoho dalšího. Abychom zjednodušily následující proces, vytvořili jsme vstupní příkaz, který shromáždí všechny potřebné hodnoty a uloží ho do proměnné, která se pak použije pro následující příkazy.
Spusťte následující příkaz:
$params = Get-AksGMSAParameters
Po spuštění příkazu zadejte potřebné vstupy, dokud se příkaz nedokončí. Odteď můžete jednoduše zkopírovat a vložit příkazy, jak je znázorněno na této stránce.
Připojení ke clusteru AKS
Při použití gMSA v modulu AKS PowerShellu se budete připojovat ke clusteru AKS, který chcete nakonfigurovat. Modul gMSA pro AKs v PowerShellu spoléhá na připojení prostřednictvím kubectl. Pokud chcete připojit cluster, spusťte následující příkaz: (Všimněte si, že jste zadali výše uvedené vstupy, můžete jednoduše zkopírovat a vložit následující příkaz do relace PowerShellu).
Import-AzAksCredential -Force `
-ResourceGroupName $params["aks-cluster-rg-name"] `
-Name $params["aks-cluster-name"]