Usare l'identità gestita con "Bridge to Kubernetes"
Nota
Bridge to Kubernetes verrà ritirato il 30 aprile 2025. Per informazioni dettagliate sul ritiro e sulle alternative open source, vedere il problema di GitHub .
Se il cluster del servizio Azure Kubernetes usa funzionalità di sicurezza per proteggere l'accesso ai segreti e alle risorse, Bridge to Kubernetes richiede una configurazione speciale per assicurarsi che possa funzionare con queste funzionalità. È necessario scaricare un token Microsoft Entra nel computer locale per assicurarsi che l'esecuzione locale e il debug siano protetti correttamente e che questa operazione richieda una configurazione speciale in Bridge to Kubernetes. Questo articolo illustra come configurare Bridge in Kubernetes per l'uso con i servizi che usano l'identità gestita.
Come configurare il servizio per l'uso dell'identità gestita
Per abilitare un computer locale con supporto per l'identità gestita, nella sezione enableFeatures KubernetesLocalConfig.yaml aggiungere ManagedIdentity. Aggiungere la sezione enableFeatures se non è già presente.
enableFeatures:
- ManagedIdentity
Avvertimento
Assicurarsi di usare l'identità gestita solo per Bridge to Kubernetes quando si usano cluster di sviluppo, non cluster di produzione, perché il token Microsoft Entra viene recuperato nel computer locale, che presenta un potenziale rischio per la sicurezza.
Se non si ha un file KubernetesLocalConfig.yaml, è possibile crearne uno; vedere Procedura: Configurare bridge in Kubernetes.
Come recuperare i token di Microsoft Entra
È necessario assicurarsi di fare affidamento su Azure.Identity.DefaultAzureCredential o Azure.Identity.ManagedIdentityCredential nel codice durante il recupero del token.
Il codice C# seguente illustra come recuperare le credenziali dell'account di archiviazione quando si usa ManagedIdentityCredential:
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Il codice seguente illustra come recuperare le credenziali dell'account di archiviazione quando si usa DefaultAzureCredential:
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Per informazioni su come accedere ad altre risorse di Azure usando l'identità gestita, vedere la sezione Passaggi successivi.
Ricevere avvisi di Azure quando vengono scaricati i token
Ogni volta che si usa Bridge per Kubernetes in un servizio, il token Microsoft Entra viene scaricato nel computer locale. È possibile abilitare gli avvisi di Azure per ricevere una notifica quando si verifica questa situazione. Per informazioni, vedere Abilitare Azure Defender. Tenere presente che è previsto un addebito (dopo un periodo di valutazione di 30 giorni).
Passaggi successivi
Dopo aver configurato Bridge per Kubernetes per lavorare con il cluster del servizio Azure Kubernetes che usa l'identità gestita, è possibile eseguire il debug come di consueto. Consulta il documento [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].
Per altre informazioni sull'uso dell'identificazione gestita per accedere alle risorse di Azure, seguire queste esercitazioni:
- Esercitazione: Utilizzare un'identità gestita assegnata dal sistema per una VM Linux per accedere all'Archiviazione Azure
- Esercitazione: Usare una macchina virtuale Linux con un'identità gestita assegnata dal sistema per accedere ad Azure Data Lake Store
- Esercitazione: Usare un'identità gestita assegnata dal sistema di macchine virtuali Linux per accedere ad Azure Key Vault
In questa sezione sono disponibili altre esercitazioni per l'uso dell'identità gestita per accedere ad altre risorse di Azure.