다음을 통해 공유

PowerShell 모듈을 사용하여 AKS 기반 gMSA 유효성 검사

  • 아티클

PowerShell 모듈을 사용하여 AKS 기반 gMSA를 구성하면 애플리케이션을 AKS의 Windows 노드에 배포할 준비가 된 것입니다. 그러나 구성이 올바르게 설정되었는지 추가로 확인하려면 아래 지침을 사용하여 배포가 제대로 구성되었는지 확인할 수 있습니다.

유효성 검사

AKS 기반 gMSA PowerShell 모듈에서는 환경 설정이 올바르게 구성되었는지 확인하는 명령을 제공합니다. 다음 명령을 사용하여 gMSA 자격 증명 사양이 작동하는지 확인합니다.

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Windows 노드에서 gMSA 로그 수집

다음 명령을 사용하여 Windows 호스트에서 로그를 추출할 수 있습니다.

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

로그는 각 Windows 호스트에서 $params["logs-directory"] 로컬 디렉터리로 복사됩니다. 로그 디렉터리에는 각 Windows 에이전트 호스트의 이름을 따서 명명된 하위 디렉터리가 있습니다. 다음 요구 사항이 충족된 후에만 이벤트 뷰어에서 CCG(Container Credential Guard) .evtx 로그 파일을 제대로 검사할 수 있습니다.

  • 컨테이너 Windows 기능이 설치되어 있습니다. 이는 다음 명령을 사용하여 PowerShell을 통해 설치할 수 있습니다.
# Needs computer restart
Install-WindowsFeature -Name Containers
  • CCGEvents.man 로깅 매니페스트 파일이 다음을 통해 등록되어 있습니다.
wevtutil im CCGEvents.man

참고

로깅 매니페스트 파일은 Microsoft에서 제공해야 합니다.

gMSA를 사용하여 샘플 애플리케이션 설정

AKS 기반 gMSA 구성을 간소화하는 것 외에도 PowerShell 모듈은 테스트 목적으로 사용할 샘플 애플리케이션도 제공합니다. 샘플 애플리케이션을 설치하려면 다음을 실행합니다.

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Azure Key Vault에 대한 AKS 에이전트 풀 액세스 유효성 검사

Active Directory에서 gMSA를 검색할 수 있는 계정을 사용하려면 AKS 노드 풀이 Azure Key Vault 비밀에 액세스할 수 있어야 합니다. 노드가 Active Directory Domain Controller와 통신할 수 있도록 이 액세스를 올바르게 구성해야 합니다. 비밀에 액세스하지 못하면 애플리케이션을 인증할 수 없습니다. 반면에 필요하지 않은 노드 풀에는 액세스 권한이 부여되지 않도록 할 수 있습니다.

AKS PowerShell 모듈의 gMSA를 사용하면 Azure Key Vault의 비밀에 액세스할 수 있는 노드 풀의 유효성을 검사할 수 있습니다.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

모듈 피드백

AKS 기반 gMSA PowerShell 모듈의 피드백, 질문 및 제안 사항은 GitHub의 Windows 컨테이너 리포지토리를 방문하세요.