Compartir a través de

Validación de gMSA en AKS con el módulo de PowerShell

  • Artículo

Una vez que configure gMSA en AKS con el módulo de PowerShell, la aplicación está lista para implementarse en los nodos de Windows en AKS. Sin embargo, si desea validar aún más que la configuración está configurada correctamente, puede usar las instrucciones siguientes para confirmar si la implementación está configurada correctamente.

Validación

El módulo de PowerShell de gMSA en AKS proporciona un comando para validar si la configuración del entorno está configurada correctamente. Compruebe que la especificación de credenciales de gMSA funciona con el siguiente comando:

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Recopilación de registros de gMSA de los nodos de Windows

El siguiente comando se puede usar para extraer registros de los hosts de Windows:

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

Los registros se copiarán de cada host de Windows en el directorio local $params["logs-directory"]. El directorio de registros tendrá un subdirectorio denominado en función de cada host de agente de Windows. El archivo de registro .evtx de CCG (Container Credential Guard) se puede inspeccionar correctamente en el Visor de eventos solo si se cumplen los siguientes requisitos:

  • La característica Contenedores de Windows está instalada. Se puede instalar mediante PowerShell con el siguiente comando:
# Needs computer restart
Install-WindowsFeature -Name Containers
  • El archivo de manifiesto de registro CCGEvents.man se registra mediante:
wevtutil im CCGEvents.man

Nota

Microsoft debe proporcionar el archivo de manifiesto de registro.

Configuración de una aplicación de ejemplo mediante gMSA

Además de racionalizar la configuración de gMSA en AKS, el módulo de PowerShell también proporciona una aplicación de ejemplo para que la use con fines de prueba. Para instalar la aplicación de ejemplo, ejecute lo siguiente:

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Validación del acceso del grupo de agentes de AKS a Azure Key Vault

Los grupos de nodos de AKS deben poder acceder al secreto de Azure Key Vault para poder usar la cuenta que puede recuperar gMSA en Active Directory. Es importante que haya configurado este acceso correctamente para que los nodos puedan comunicarse con el Controlador de dominio de Active Directory. No tener acceso a los secretos significa que la aplicación no podrá autenticarse. Por otro lado, es posible que quiera asegurarse de que no se proporciona acceso a los grupos de nodos que no lo necesitan necesariamente.

El módulo de PowerShell de gMSA en AKS permite validar qué grupos de nodos tienen acceso a qué secretos de Azure Key Vault.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

Comentarios del módulo

Para obtener comentarios, preguntas y sugerencias sobre el módulo de PowerShell de gMSA en AKS, visite el repositorio de contenedores de Windows en GitHub.