Azure Kubernetes Service의 gMSA

AKS(Azure Kubernetes Service)에서 gMSA(그룹 관리 서비스 계정)를 사용하여 인증을 위해 Active Directory가 필요한 애플리케이션을 지원할 수 있습니다. AKS에서 gMSA를 구성하려면 AKS, Azure Key Vault, Active Directory, 자격 증명 사양 등과 같은 서비스 및 설정을 올바르게 설정해야 합니다. 이 프로세스를 간소화하기 위해 아래 PowerShell 모듈을 사용할 수 있습니다. 이 모듈은 여러 서비스를 설정하는 복잡성을 제거하여 AKS에서 gMSA를 구성하는 프로세스를 간소화하기 위해 맞춤 제작되었습니다.

환경 요구 사항

AKS에 gMSA를 배포하려면 다음이 필요합니다.

• Windows 노드가 실행되고 있는 AKS 클러스터입니다. AKS 클러스터가 준비되지 않은 경우 Azure Kubernetes Service 설명서확인하세요.
  • 클러스터는 AKS의 gMSA에 대한 권한을 부여받아야 합니다. 자세한 내용은 AKS(Azure Kubernetes Service) 클러스터 Windows Server 노드에 대해 GMSA(그룹 관리 서비스 계정) 사용참조하세요.
• gMSA에 대해 올바르게 구성된 Active Directory 환경입니다. 도메인을 구성하는 방법에 대한 자세한 내용은 아래에 제공됩니다.
  • AKS의 Windows 노드는 Active Directory 도메인 컨트롤러에 연결할 수 있어야 합니다.
• gMSA 및 표준 도메인 사용자를 설정하기 위해 위임된 권한 부여가 있는 Active Directory 도메인 자격 증명 이 작업은 권한이 있는 사용자에게 위임할 수 있습니다(필요한 경우).

AKS PowerShell 모듈에 gMSA 설치

시작하려면 PowerShell 갤러리에서 PowerShell 모듈을 다운로드합니다.

Install-Module -Name AksGMSA -Repository PSGallery -Force

메모

AKS PowerShell 모듈의 gMSA는 지속적으로 업데이트됩니다. 이전에 이 자습서의 단계를 실행하고 새 구성을 다시 확인하는 경우 모듈을 최신 버전으로 업데이트해야 합니다. 모듈에 대한 자세한 내용은 PowerShell 갤러리의 페이지에 있습니다.

모듈 요구 사항

AKS PowerShell 모듈의 gMSA는 다양한 모듈 및 도구를 사용합니다. 이러한 요구 사항을 설치하려면 관리자 권한 세션에서 다음을 실행합니다.

Install-ToolingRequirements

Azure 자격 증명으로 로그인

AKS 클러스터를 올바르게 구성하려면 AKS PowerShell 모듈의 gMSA에 대한 자격 증명을 사용하여 Azure에 로그인해야 합니다. PowerShell을 통해 Azure에 로그인하려면 다음을 실행합니다.

Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"

PowerShell 모듈도 백그라운드에서 사용하므로 Azure CLI를 사용하여 로그인해야 합니다.

az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"

AKS 모듈에서 gMSA에 필요한 입력 설정

AKS에서 gMSA를 구성하는 동안 AKS 클러스터 이름, Azure 리소스 그룹 이름, 필요한 자산을 배포할 지역, Active Directory 도메인 이름 등과 같은 많은 입력이 필요합니다. 아래 프로세스를 간소화하기 위해 필요한 모든 값을 수집하고 아래 명령에서 사용할 변수에 저장하는 입력 명령을 만들었습니다.

시작하려면 다음을 실행합니다.

$params = Get-AksGMSAParameters

명령을 실행한 후 명령이 완료될 때까지 필요한 입력을 제공합니다. 이제 이 페이지에 표시된 대로 명령을 복사하여 붙여넣을 수 있습니다.

AKS 클러스터에 연결

AKS PowerShell 모듈에서 gMSA를 사용하는 동안 구성하려는 AKS 클러스터에 연결합니다. AKs PowerShell 모듈의 gMSA는 kubectl 연결을 사용합니다. 클러스터를 연결하려면 다음을 실행합니다. 위의 입력을 제공했기 때문에 아래 명령을 복사하여 PowerShell 세션에 붙여넣을 수 있습니다.

 Import-AzAksCredential -Force `
 -ResourceGroupName $params["aks-cluster-rg-name"] `
 -Name $params["aks-cluster-name"]

다음 단계

PowerShell 모듈 사용하여 AKS에서 gMSA 구성