Implementación de cargas de trabajo de Windows en contenedores

Completado

Contoso usa AD DS como proveedor de identidades para cargas de trabajo basadas en Windows y Linux, siendo Kerberos el protocolo de autenticación principal. El equipo de seguridad de la información le ha pedido que investigue las opciones para integrar cargas de trabajo en contenedores hospedadas por AKS en Azure Stack HCI con el entorno de AD DS de Contoso. Teniendo en cuenta que tiene previsto implementar nodos y contenedores basados en Windows en clústeres de Kubernetes, quiere determinar hasta qué punto es posible dicha integración.

Integración de contenedores de Windows en AKS en Azure Stack HCI con AD DS

Podría haber escenarios en los que las aplicaciones en contenedores basadas en Windows que se ejecutan en pods de Kubernetes necesiten acceder a recursos protegidos por AD DS. Esta funcionalidad requiere una identidad basada en dominio de AD DS para completar correctamente las tareas de autenticación y autorización. Para implementar esta identidad, puede usar cuentas de servicio administradas de grupo (gMSA).

En comparación con el método tradicional para administrar identidades para servicios y aplicaciones de Windows que necesitan poder autenticarse por sí solas, gMSA ofrece varias ventajas, que incluyen cambios automáticos de contraseña, configuración y mantenimiento simplificados y compatibilidad con la administración delegada.

Para permitir que los pods usen gMSA para la autenticación, una todos los nodos de trabajo de Kubernetes basados en Windows Server que hospedarán los pods en un servidor de AD DS. Para realizar la unión a un dominio, conéctese a cada nodo a través de Secure Shell (SSH) y ejecute la utilidad de línea de comandos netdom.exe con el modificador de combinación.

El resto del proceso es el mismo que en cualquier clúster de Kubernetes que incluya nodos de trabajo de Windows Server, y tiene los siguientes pasos generales:

1. Aprovisionar una cuenta gMSA en AD DS y asignarla a los nodos de Windows Server
2. Definir un tipo de recurso de Kubernetes personalizado que represente la cuenta gMSA de AD DS (GMSACredentialSpec)
3. Configurar un mecanismo basado en webhook que rellena y valida automáticamente las referencias de GMSACredentialSpec para pods y contenedores
4. Crear un recurso personalizado basado en el tipo de recurso GMSACredentialSpec
5. Definir un rol de clúster para habilitar RBAC para el recurso GMSACredentialSpec
6. Asignar el rol a la cuenta gMSA de AD DS para autorizar su uso del recurso GMSACredentialSpec correspondiente
7. Incluir una referencia al recurso GMSACredentialSpec en la definición de pods que lo usará para la autenticación de AD DS

Nota:

Para habilitar la compatibilidad con gMSA, el nombre del clúster de Kubernetes no puede superar los tres caracteres. Esta restricción es el resultado del límite de 15 caracteres de un nombre de equipo unido a un dominio.

Prueba de conocimientos

1.

El equipo de seguridad de la información de Contoso le solicita que investigue las opciones para implementar la autenticación basada en AD DS de cargas de trabajo en contenedores basadas en Windows hospedadas por AKS en Azure Stack HCI. Para empezar, implemente un clúster de Kubernetes que contenga nodos de Windows Server en el clúster de Azure Stack HCI. ¿Qué debe hacer a continuación?

Registrar el clúster de Azure Stack HCI en Azure.

Habilitar CredSSP en el clúster de Azure Stack HCI.

Unir los nodos de Windows Server del clúster de Kubernetes al dominio de AD DS compartido.

Debe responder todas las preguntas antes de comprobar su trabajo.