Compartir a través de

Uso de la identidad administrada con Bridge to Kubernetes

  • Artículo

Nota:

Microsoft tiene previsto dejar de mantener activamente el proyecto Puente a Kubernetes. En los próximos meses pasaremos a archivar el proyecto. Mientras tanto, el proyecto sigue disponible para su uso y descarga. Durante este período, esperamos explorar y recomendar proyectos de la comunidad que proporcionen beneficios similares a Puente a Kubernetes para su uso futuro. Si tiene alguna pregunta, póngase en contacto con nosotros en nuestro panel de problemas en GitHub.

Si el clúster de AKS usa características de seguridad de identidad administrada para proteger el acceso a secretos y recursos, Bridge to Kubernetes necesita una configuración especial para asegurarse de que puede funcionar con estas características. Es necesario descargar un token de Microsoft Entra en el equipo local para asegurarse de que la ejecución y depuración locales están correctamente protegidas, lo que requiere una configuración especial en Bridge to Kubernetes. En este artículo se muestra cómo configurar Bridge to Kubernetes para que funcione con servicios que usan identidad administrada.

Configuración del servicio para usar la identidad administrada

Para habilitar una máquina local compatible con la identidad administrada, en el archivo KubernetesLocalConfig.yaml, en la sección enableFeatures, agregue ManagedIdentity. Agregue la sección enableFeatures si aún no está ahí.

enableFeatures:
  - ManagedIdentity

Advertencia

Asegúrese de usar solo la identidad administrada para Bridge to Kubernetes al trabajar con clústeres de desarrollo, no con clústeres de producción, porque el token de Microsoft Entra se captura en la máquina local, lo que presenta un riesgo de seguridad potencial.

Si no tiene un archivo KubernetesLocalConfig.yaml, puede crear uno; vea Configuración de Bridge to Kubernetes.

Cómo capturar los tokens de Microsoft Entra

Debe asegurarse de que se basa en Azure.Identity.DefaultAzureCredential o Azure.Identity.ManagedIdentityCredential en el código cuando captura el token.

El siguiente código de C# muestra cómo capturar las credenciales de la cuenta de almacenamiento cuando se usa ManagedIdentityCredential:

var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

El siguiente código muestra cómo capturar las credenciales de la cuenta de almacenamiento cuando se usa DefaultAzureCredential:

var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Para obtener información sobre cómo acceder a otros recursos de Azure mediante la identidad administrada, consulte la sección Pasos siguientes.

Recepción de alertas de Azure cuando se descargan tokens

Cada vez que usa Bridge to Kubernetes en un servicio, el token de Microsoft Entra se descarga en el equipo local. Puede habilitar alertas de Azure para recibir notificaciones cuando esto ocurra. Para más información, consulte Habilitación de Azure Defender. Tenga en cuenta que hay un cargo (después de un período de prueba de 30 días).

Pasos siguientes

Ahora que ha configurado Bridge to Kubernetes para que funcione con el clúster de AKS que usa la identidad administrada, puede depurar de la forma habitual. Consulte [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].

Para más información sobre el uso de la identidad administrada para acceder a los recursos de Azure, consulte estos tutoriales:

También hay otros tutoriales en esa sección para usar la identidad administrada para acceder a otros recursos de Azure.

Consulte también

Microsoft Entra ID