Delen via

gMSA in Azure Kubernetes Service

  • Artikel

Beheerde serviceaccounts (gMSA) voor groepen kunnen worden gebruikt in Azure Kubernetes Service (AKS) ter ondersteuning van toepassingen waarvoor Active Directory is vereist voor verificatiedoeleinden. Voor de configuratie van gMSA op AKS moet u de volgende services en instellingen correct instellen: AKS, Azure Key Vault, Active Directory, referentiespecificaties, enzovoort. Als u dit proces wilt stroomlijnen, kunt u de Onderstaande PowerShell-module gebruiken. Deze module is op maat gemaakt voor het vereenvoudigen van het proces van het configureren van gMSA op AKS door de complexiteit van het instellen van verschillende services te verwijderen.

Omgevingsvereisten

Als u gMSA op AKS wilt implementeren, hebt u het volgende nodig:

  • Een AKS-cluster met Windows-knooppunten actief. Als u nog geen AKS-cluster hebt, bekijkt u de documentatie van Azure Kubernetes Service.
  • Een Active Directory-omgeving die correct is geconfigureerd voor gMSA. Hieronder vindt u meer informatie over het configureren van uw domein.
    • Uw Windows-knooppunten op AKS moeten verbinding kunnen maken met uw Active Directory-domeincontrollers.
  • Active Directory-domeinreferenties met gedelegeerde autorisatie voor het instellen van de gMSA en een standaarddomeingebruiker. Deze taak kan worden gedelegeerd aan geautoriseerde personen (indien nodig).

De gMSA installeren in de PowerShell-module van AKS

Download de PowerShell-module vanuit de PowerShell-galerie om aan de slag te gaan:

Install-Module -Name AksGMSA -Repository PSGallery -Force

Notitie

De gMSA in AKS PowerShell-module wordt voortdurend bijgewerkt. Als u de stappen in deze zelfstudie eerder hebt uitgevoerd en nu weer nieuwe configuraties hebt uitgevoerd, moet u ervoor zorgen dat u de module bijwerkt naar de nieuwste versie. Meer informatie over de module vindt u op de pagina PowerShell Gallery.

Modulevereisten

De gMSA op AKS PowerShell-module is afhankelijk van verschillende modules en hulpprogramma's. Als u deze vereisten wilt installeren, voert u het volgende uit op een sessie met verhoogde bevoegdheid:

Install-ToolingRequirements

Aanmelden met uw Azure-referentie

U moet aangemeld zijn bij Azure met uw gMSA-referenties in de AKS PowerShell-module om uw AKS-cluster correct te configureren. Voer het volgende uit om u aan te melden bij Azure via PowerShell:

Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"

U moet zich ook aanmelden met de Azure CLI, omdat de PowerShell-module dat ook op de achtergrond gebruikt:

az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"

Vereiste invoer instellen voor gMSA in AKS-module

In de configuratie van gMSA op AKS zijn veel invoer nodig, zoals: De naam van uw AKS-cluster, de naam van de Azure-resourcegroep, de regio voor het implementeren van de benodigde assets, de Active Directory-domeinnaam en nog veel meer. Om het onderstaande proces te stroomlijnen, hebben we een invoeropdracht gemaakt waarmee alle benodigde waarden worden verzameld en opgeslagen in een variabele die vervolgens wordt gebruikt in de onderstaande opdrachten.

Voer het volgende uit om te beginnen:

$params = Get-AksGMSAParameters

Nadat u de opdracht hebt uitgevoerd, geeft u de benodigde invoer op totdat de opdracht is voltooid. Vanaf nu kunt u gewoon de opdrachten kopiƫren en plakken, zoals wordt weergegeven op deze pagina.

Verbinding maken met uw AKS-cluster

Tijdens het gebruik van de gMSA in AKS PowerShell-module maakt u verbinding met het AKS-cluster dat u wilt configureren. De gMSA op AKs PowerShell-module is afhankelijk van de kubectl-verbinding. Als u verbinding wilt maken met uw cluster, voert u het volgende uit: (Omdat u de bovenstaande invoer hebt opgegeven, kunt u de onderstaande opdracht gewoon kopiƫren en plakken in uw PowerShell-sessie).

 Import-AzAksCredential -Force `
 -ResourceGroupName $params["aks-cluster-rg-name"] `
 -Name $params["aks-cluster-name"]

Volgende stap

gMSA configureren in AKS met de PowerShell-module