Utiliser une identité managée avec Bridge to Kubernetes
Note
Bridge to Kubernetes sera mis hors service le 30 avril 2025. Pour plus d’informations sur la mise hors service et les alternatives open source, consultez le problème GitHub.
Si votre cluster AKS utilise identité managée fonctionnalités de sécurité pour sécuriser l’accès aux secrets et aux ressources, Bridge to Kubernetes a besoin d’une configuration spéciale pour s’assurer qu’elle peut fonctionner avec ces fonctionnalités. Un jeton Microsoft Entra doit être téléchargé sur l’ordinateur local pour vous assurer que l’exécution et le débogage locaux sont correctement sécurisés, ce qui nécessite une configuration spéciale dans Bridge to Kubernetes. Cet article explique comment configurer Bridge to Kubernetes pour utiliser des services qui utilisent l’identité managée.
Comment configurer votre service pour utiliser l’identité managée
Pour activer une machine locale avec prise en charge de l’identité managée, dans le fichier KubernetesLocalConfig.yaml, dans la section enableFeatures, ajoutez ManagedIdentity. Ajoutez la section enableFeatures si ce n’est pas déjà fait.
enableFeatures:
- ManagedIdentity
Avertissement
Veillez à utiliser uniquement l’identité managée pour Bridge to Kubernetes lors de l’utilisation des clusters de développement, et non des clusters de production, car le jeton Microsoft Entra est récupéré sur l’ordinateur local, ce qui présente un risque de sécurité potentiel.
Si vous n’avez pas de fichier KubernetesLocalConfig.yaml, vous pouvez en créer un ; consultez Guide pratique pour configurer Bridge to Kubernetes.
Comment récupérer les jetons Microsoft Entra
Assurez-vous de vous appuyer sur Azure.Identity.DefaultAzureCredential ou Azure.Identity.ManagedIdentityCredential dans le code lors de la récupération du jeton.
Le code C# suivant montre comment récupérer les informations d’identification du compte de stockage lorsque vous utilisez ManagedIdentityCredential:
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Le code suivant montre comment récupérer les informations d’identification du compte de stockage lorsque vous utilisez DefaultAzureCredential :
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Pour savoir comment accéder à d’autres ressources Azure à l’aide d’une identité managée, consultez la section Étapes suivantes.
Recevoir des alertes Azure lorsque des jetons sont téléchargés
Chaque fois que vous utilisez Bridge to Kubernetes sur un service, le jeton Microsoft Entra est téléchargé sur l’ordinateur local. Vous pouvez autoriser les alertes Azure à être averties lorsque cela se produit. Pour plus d’informations, consultez Activer Azure Defender. N’oubliez pas qu’il y a des frais (après une période d’essai de 30 jours).
Étapes suivantes
Maintenant que vous avez configuré Bridge to Kubernetes pour qu’il fonctionne avec votre cluster AKS qui utilise l’identité managée, vous pouvez déboguer normalement. Consultez [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].
En savoir plus sur l’utilisation de l’identification managée pour accéder aux ressources Azure en suivant ces didacticiels :
- Tutoriel : Utiliser une identité managée attribuée par le système d'une VM Linux pour accéder au stockage Azure.
- tutoriel : Utiliser une identité managée affectée par le système de machine virtuelle Linux pour accéder à Azure Data Lake Store
- Tutoriel : Utiliser une identité managée affectée par le système de machine virtuelle Linux pour accéder à Azure Key Vault
Il existe d'autres didacticiels dans cette section, y compris des guides sur l'utilisation de l'identité managée pour accéder à d'autres ressources Azure.