Condividi tramite

Verificare gMSA su AKS con il modulo PowerShell

  • Articolo

Dopo aver configurato gMSA nel servizio Azure Kubernetes con il modulo PowerShell, l'applicazione è pronta per essere distribuita nei nodi di Windows nel servizio Azure Kubernetes. Tuttavia, se si vuole verificare ulteriormente che la configurazione sia configurata correttamente, è possibile usare le istruzioni seguenti per verificare se la distribuzione è configurata correttamente.

Convalida

Il modulo gMSA nel servizio Azure Kubernetes di PowerShell fornisce un comando per verificare se le impostazioni per l'ambiente sono configurate correttamente. Convalidare che la specifica delle credenziali gMSA funzioni con il comando seguente:

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Raccogli i log di gMSA dai tuoi nodi Windows

Il comando seguente può essere usato per estrarre i log dagli host Di Windows:

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

I log verranno copiati da ogni host windows nella directory locale $params["logs-directory"]. La directory dei log avrà una sottodirectory con il nome di ciascun host dell'agente di Windows. Il file di log CCG (Container Credential Guard) con estensione evtx può essere controllato correttamente nel Visualizzatore eventi, solo dopo aver soddisfatto i requisiti seguenti:

  • La funzionalità Contenitori di Windows è installata. Può essere installato tramite PowerShell usando il comando seguente:
# Needs computer restart
Install-WindowsFeature -Name Containers
  • Il file di manifesto del log CCGEvents.man viene registrato tramite:
wevtutil im CCGEvents.man

Nota

Il file manifesto di registrazione deve essere fornito da Microsoft.

Configurare un'applicazione di esempio usando l'account del servizio gestito del gruppo (gMSA)

Oltre a semplificare la configurazione del servizio gestito di gruppo su AKS, il modulo PowerShell fornisce anche un'applicazione di esempio per scopi di test. Per installare l'applicazione di esempio, eseguire quanto segue:

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Validare l'accesso al pool di agenti AKS ad Azure Key Vault

I pool di nodi AKS devono essere in grado di accedere al segreto di Azure Key Vault per usare l'account in grado di recuperare il gMSA per Active Directory. È importante aver configurato correttamente questo accesso in modo che i nodi possano comunicare con il controller di dominio Active Directory. Non accedere ai segreti significa che l'applicazione non sarà in grado di eseguire l'autenticazione. D'altra parte, potrebbe essere necessario assicurarsi che non venga concesso alcun accesso ai pool di nodi che non ne hanno necessariamente bisogno.

Il modulo gMSA sul servizio PowerShell di Azure Kubernetes Service consente di verificare quali pool di nodi hanno accesso a quali segreti nell'Azure Key Vault.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

Condividere commenti e suggerimenti

Per domande, commenti e suggerimenti sul modulo PowerShell gMSA per Azure Kubernetes Service (AKS), visitare il repository Windows Containers su GitHub.