Partager via

Valider gMSA sur AKS avec le module PowerShell

  • Article

Une fois que vous avez configuré gMSA sur AKS avec le module PowerShell, votre application est prête à être déployée sur vos nœuds Windows sur AKS. Toutefois, si vous souhaitez valider que la configuration est correctement définie, vous pouvez utiliser les instructions ci-dessous pour confirmer que votre déploiement est configuré de manière appropriée.

Validation

Le module PowerShell gMSA sur AKS fournit une commande qui vous permet de valider la configuration des paramètres de votre environnement. Pour vérifier que la spécification des informations d’identification de gMSA est correcte, utilisez la commande suivante :

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Collecter les journaux de gMSA à partir de vos nœuds Windows

Utilisez la commande suivante pour collecter les journaux à partir des hôtes Windows :

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

Les journaux collectés de chaque hôte Windows sont copiés dans le répertoire local $params["logs-directory"]. Le répertoire des journaux contient un sous-répertoire nommé d’après le nom de chaque hôte de l’agent Windows. L’analyse du fichier journal .evtx de CCG (Container Credential Guard) est possible dans l’observateur d’événements, uniquement si les conditions suivantes sont remplies :

  • La fonctionnalité des conteneurs Windows est installée. Elle peut être installée via PowerShell avec la commande suivante :
# Needs computer restart
Install-WindowsFeature -Name Containers
  • Le fichier manifeste de journalisation (CCGEvents.man) est inscrit via :
wevtutil im CCGEvents.man

Notes

Le fichier manifeste de journalisation doit être fourni par Microsoft.

Installer l’exemple d’application avec gMSA

En plus de simplifier la configuration de gMSA sur AKS, le module PowerShell fournit également un exemple d’application que vous pouvez utiliser à des fins de test. Pour installer l’exemple d’application, exécutez la commande suivante :

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Valider l’accès des pools d’agents AKS à Azure Key Vault

Vos pools de nœuds AKS doivent pouvoir accéder au secret Azure Key Vault pour pouvoir utiliser le compte qui peut récupérer le compte gMSA sur Active Directory. Il est important d’avoir configuré cet accès correctement pour que vos nœuds puissent communiquer avec votre contrôleur de domaine Active Directory. Si vous ne parvenez pas à accéder aux secrets, votre application ne pourra pas s’authentifier. En revanche, vous souhaiterez probablement vous assurer qu’aucun accès n’est accordé aux pools de nœuds qui n’en ont pas nécessairement besoin.

Le module gMSA sur AKS PowerShell vous permet de valider quels pools de nœuds ont accès aux secrets sur Azure Key Vault.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

Commentaires sur le module

Pour tout commentaire, toute question et toute suggestion concernant le module gMSA sur AKS PowerShell, accédez au dépôt des conteneurs Windows sur GitHub.