Partager via

Valider gMSA sur AKS avec le module PowerShell

  • Article

Une fois que vous avez configuré gMSA sur AKS avec le module PowerShell, votre application est prête à être déployée sur vos nœuds Windows sur AKS. Toutefois, si vous souhaitez vérifier que la configuration est correctement configurée, vous pouvez utiliser les instructions ci-dessous pour vérifier si votre déploiement est correctement configuré.

Validation

Le module gMSA sur AKS PowerShell fournit une commande pour vérifier si les paramètres de votre environnement sont correctement configurés. Vérifiez que la spécification des informations d’identification gMSA fonctionne avec la commande suivante :

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Collecter les journaux de gMSA à partir de vos nœuds Windows

Utilisez la commande suivante pour collecter les journaux à partir des hôtes Windows :

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

Les journaux collectés de chaque hôte Windows sont copiés dans le répertoire local $params["logs-directory"]. Le dossier des logs aura un sous-répertoire portant le nom de chaque hôte d'agent Windows. Le fichier journal .evtx de la GCC (Container Credential Guard) peut être correctement inspecté dans l’Observateur d’événements, uniquement une fois les exigences suivantes remplies :

  • La fonctionnalité Conteneurs Windows est installée. Elle peut être installée via PowerShell à l’aide de la commande suivante :
# Needs computer restart
Install-WindowsFeature -Name Containers
  • Le fichier manifeste de journalisation GCCEvents.man est enregistré via :
wevtutil im CCGEvents.man

Note

Le fichier manifeste de journalisation doit être fourni par Microsoft.

Configurer un exemple d’application à l’aide de gMSA

Outre la rationalisation de la configuration de gMSA sur AKS, le module PowerShell fournit également un exemple d’application à utiliser à des fins de test. Pour installer l’exemple d’application, exécutez ce qui suit :

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Valider l’accès au pool d’agents AKS à Azure Key Vault

Vos pools de nœuds AKS doivent pouvoir accéder au secret de l'Azure Key Vault afin d'utiliser le compte qui peut récupérer le gMSA dans Active Directory. Il est important que vous ayez configuré cet accès correctement afin que vos nœuds puissent communiquer avec votre contrôleur de domaine Active Directory. L’échec de l’accès aux secrets signifie que votre application ne pourra pas s’authentifier. En revanche, vous souhaiterez peut-être vous assurer qu’aucun accès n’est accordé aux pools de nœuds qui n’en ont pas nécessairement besoin.

Le module gMSA sur AKS PowerShell vous permet de valider les pools de nœuds qui ont accès aux secrets sur Azure Key Vault.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

Partager des commentaires

Pour des retours, questions et suggestions concernant le module gMSA sur AKS PowerShell, veuillez visiter le dépôt Windows Containers sur GitHub.