Compartir a través de

gMSA en Azure Kubernetes Service

  • Artículo

Las cuentas de servicio administradas de grupo (gMSA) se pueden usar en Azure Kubernetes Service (AKS) para admitir aplicaciones que requieren Active Directory con fines de autenticación. La configuración de gMSA en AKS requiere que configure correctamente los siguientes servicios y opciones: AKS, Azure Key Vault, Active Directory, especificaciones de credenciales, etc. Para simplificar este proceso, puede usar el módulo de PowerShell siguiente. Este módulo se ha personalizado para simplificar el proceso de configuración de gMSA en AKS mediante la eliminación de la complejidad de la configuración de diferentes servicios.

Requisitos del entorno

Para implementar gMSA en AKS, necesitará lo siguiente:

  • Un clúster de AKS con nodos de Windows en funcionamiento. Si no tiene un clúster de AKS listo, consulte la documentación de Azure Kubernetes Service.
  • Un entorno de Active Directory configurado correctamente para gMSA. A continuación se proporcionan detalles sobre cómo configurar el dominio.
    • Los nodos de Windows en AKS deben poder conectarse a los controladores de dominio de Active Directory.
  • Credenciales de dominio de Active Directory con autorización delegada para configurar la gMSA y un usuario de dominio estándar. Esta tarea se puede delegar a personas autorizadas (si es necesario).

Instalación de gMSA en el módulo de PowerShell de AKS

Para empezar, descargue el módulo de PowerShell desde la galería de PowerShell:

Install-Module -Name AksGMSA -Repository PSGallery -Force

Nota

El módulo gMSA en AKS PowerShell se actualiza constantemente. Si ejecutó los pasos de este tutorial antes y ahora vuelve a comprobar las nuevas configuraciones, asegúrese de actualizar el módulo a la versión más reciente. Puede encontrar más información sobre el módulo en la página del PowerShell Gallery .

Requisitos del módulo

El módulo gMSA en AKS PowerShell se basa en diferentes módulos y herramientas. Para instalar estos requisitos, ejecute lo siguiente en una sesión con privilegios elevados:

Install-ToolingRequirements

Inicio de sesión con la credencial de Azure

Tendrá que iniciar sesión en Azure con sus credenciales para el módulo gMSA en AKS PowerShell para configurar correctamente el clúster de AKS. Para iniciar sesión en Azure mediante PowerShell, ejecute lo siguiente:

Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"

También debe iniciar sesión con la CLI de Azure, ya que el módulo de PowerShell también lo usa en segundo plano:

az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"

Configuración de entradas necesarias para gMSA en el módulo de AKS

A lo largo de la configuración de gMSA en AKS, se necesitarán muchas entradas, como: el nombre del clúster de AKS, el nombre del grupo de recursos de Azure, la región para implementar los recursos necesarios, el nombre de dominio de Active Directory y mucho más. Para simplificar el proceso siguiente, creamos un comando de entrada que recopilará todos los valores necesarios y lo almacenará en una variable que se usará en los comandos siguientes.

Para empezar, ejecute lo siguiente:

$params = Get-AksGMSAParameters

Después de ejecutar el comando, proporcione las entradas necesarias hasta que finalice el comando. Desde ahora, puede copiar y pegar los comandos como se muestra en esta página.

Conexión al clúster de AKS

Al usar la gMSA en el módulo de PowerShell de AKS, se conectará al clúster de AKS que desea configurar. La gMSA en el módulo de PowerShell AKs se basa en la conexión de kubectl. Para conectar el clúster, ejecute lo siguiente: (Tenga en cuenta que, dado que proporcionó las entradas anteriores, puede simplemente copiar y pegar el comando siguiente en la sesión de PowerShell).

 Import-AzAksCredential -Force `
 -ResourceGroupName $params["aks-cluster-rg-name"] `
 -Name $params["aks-cluster-name"]

Paso siguiente

Configure gMSA en AKS con el módulo de PowerShell