Sdílet prostřednictvím

Ověření gMSA v AKS pomocí modulu PowerShellu

  • Článek

Jakmile nakonfigurujete gMSA v AKS pomocí modulu PowerShellu, je vaše aplikace připravená k nasazení na uzly Windows v AKS. Pokud ale chcete dále ověřit, že je konfigurace správně nastavená, můžete pomocí následujících pokynů ověřit, jestli je vaše nasazení správně nakonfigurované.

Validace

Modul gMSA v AKS PowerShellu poskytuje příkaz k ověření, jestli jsou nastavení pro vaše prostředí správně nakonfigurovaná. Pomocí následujícího příkazu ověřte, že specifika přihlašovacích údajů gMSA funguje:

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Shromažďte protokoly gMSA z uzlů Windows

K extrahování protokolů z hostitelů Windows můžete použít následující příkaz:

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

Protokoly se zkopírují z jednotlivých hostitelů Windows do místního adresáře $params["logs-directory"]. Adresář protokolů bude mít podadresář pojmenovaný po každém hostiteli agenta Windows. Soubor protokolu .evtx CCG (Container Credential Guard) je možné v Prohlížeči událostí správně zkontrolovat až po splnění následujících požadavků:

  • Je nainstalována funkce Kontejnery Systému Windows. Můžete ho nainstalovat přes PowerShell pomocí následujícího příkazu:
# Needs computer restart
Install-WindowsFeature -Name Containers
  • Soubor manifestu protokolování CCGEvents.man je registrován pomocí:
wevtutil im CCGEvents.man

Poznámka

Soubor manifestu protokolování musí poskytnout Microsoft.

Nastavení ukázkové aplikace pomocí gMSA

Kromě zjednodušení konfigurace gMSA v AKS poskytuje modul PowerShellu také ukázkovou aplikaci, kterou můžete použít pro účely testování. Pokud chcete nainstalovat ukázkovou aplikaci, spusťte následující příkaz:

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Ověření přístupu k fondu agentů AKS ke službě Azure Key Vault

Aby bylo možné použít účet, který může načíst gMSA ve službě Active Directory, musí mít fondy uzlů AKS přístup k tajnému kódu služby Azure Key Vault. Je důležité, abyste tento přístup nakonfigurovali správně, aby uzly mohly komunikovat s řadičem domény služby Active Directory. Přístup k tajným kódům se nepovede, protože vaše aplikace se nebude moct ověřit. Na druhou stranu možná budete chtít zajistit, aby poolům uzlů, které ho nutně nepotřebují, nebyl poskytnut žádný přístup.

Modul gMSA v AKS PowerShellu umožňuje ověřit, které fondy uzlů mají přístup ke kterým tajným kódům ve službě Azure Key Vault.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

Sdílení zpětné vazby

Pokud získáte zpětnou vazbu, dotazy a návrhy k modulu GMSA v AKS PowerShellu, navštivte úložiště kontejnerů Windows na GitHubu.