Freigeben über

Verwenden der verwalteten Identität mit Bridge to Kubernetes

  • Artikel

Anmerkung

Bridge to Kubernetes wird am 30. April 2025 eingestellt. Ausführliche Informationen zur Außerbetriebnahme und den Open-Source-Alternativen finden Sie im GitHub-Problem.

Wenn Ihr AKS-Cluster verwaltete Identität Sicherheitsfeatures verwendet, um den Zugriff auf geheime Schlüssel und Ressourcen zu sichern, benötigt Bridge to Kubernetes eine spezielle Konfiguration, um sicherzustellen, dass sie mit diesen Features funktionieren kann. Ein Microsoft Entra-Token muss auf den lokalen Computer heruntergeladen werden, um sicherzustellen, dass die lokale Ausführung und das Debuggen ordnungsgemäß gesichert ist, und dies erfordert eine spezielle Konfiguration in Bridge to Kubernetes. In diesem Artikel wird gezeigt, wie Sie "Bridge to Kubernetes" so konfigurieren, dass sie mit Diensten arbeiten, die verwaltete Identität verwenden.

So konfigurieren Sie Ihren Dienst für die Verwendung der verwalteten Identität

Um einen lokalen Computer mit Unterstützung für verwaltete Identitäten zu aktivieren, fügen Sie im Abschnitt enableFeatures der Datei KubernetesLocalConfig.yamlManagedIdentityhinzu. Fügen Sie den Abschnitt enableFeatures hinzu, wenn er noch nicht vorhanden ist.

enableFeatures:
  - ManagedIdentity

Warnung

Achten Sie darauf, die verwaltete Identität nur für Bridge to Kubernetes zu verwenden, wenn Sie mit Entwicklungsclustern arbeiten, nicht mit Produktionsclustern, da das Microsoft Entra-Token auf dem lokalen Computer abgerufen wird, der ein potenzielles Sicherheitsrisiko darstellt.

Wenn Sie nicht über eine KubernetesLocalConfig.yaml Datei verfügen, können Sie eine erstellen. siehe How to: Configure Bridge to Kubernetes.

Abrufen der Microsoft Entra-Token

Sie müssen sicherstellen, dass Sie beim Abrufen des Tokens entweder auf Azure.Identity.DefaultAzureCredential oder Azure.Identity.ManagedIdentityCredential im Code vertrauen.

Der folgende C#-Code zeigt, wie Speicherkontoanmeldeinformationen abgerufen werden, wenn Sie ManagedIdentityCredentialverwenden:

var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Der folgende Code zeigt, wie Speicherkontoanmeldeinformationen abgerufen werden, wenn Sie DefaultAzureCredential verwenden:

var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Informationen zum Zugreifen auf andere Azure-Ressourcen mit verwalteter Identität finden Sie im Abschnitt "Nächste Schritte".

Empfangen von Azure-Warnungen, wenn Token heruntergeladen werden

Wenn Sie Bridge to Kubernetes auf einem Dienst verwenden, wird das Microsoft Entra-Token auf den lokalen Computer heruntergeladen. Sie können Azure-Warnungen aktivieren, um benachrichtigt zu werden, wenn dies geschieht. Weitere Informationen finden Sie unter Aktivieren von Azure Defender. Bitte beachten Sie, dass es eine Gebühr gibt (nach einem 30-tägigen Testzeitraum).

Nächste Schritte

Nachdem Sie nun "Bridge to Kubernetes" für die Arbeit mit Ihrem AKS-Cluster konfiguriert haben, der verwaltete Identität verwendet, können Sie es normal debuggen. Weitere Informationen finden Sie unter [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].

Erfahren Sie mehr über die Verwendung der verwalteten Identifizierung für den Zugriff auf Azure-Ressourcen, indem Sie die folgenden Lernprogramme ausführen:

Es gibt weitere Lernprogramme in diesem Abschnitt, um verwaltete Identität für den Zugriff auf andere Azure-Ressourcen zu verwenden.

Siehe auch

Microsoft Entra ID