Delen via

GMSA op AKS valideren met de PowerShell-module

  • Artikel

Zodra u gMSA op AKS hebt geconfigureerd met de PowerShell-module, kunt u uw toepassing implementeren op uw Windows-knooppunten in AKS. Als u echter verder wilt controleren of de configuratie juist is ingesteld, kunt u de onderstaande instructies gebruiken om te controleren of uw implementatie juist is geconfigureerd.

Validering

De gMSA op AKS PowerShell-module biedt een opdracht om te controleren of de instellingen voor uw omgeving juist zijn geconfigureerd. Controleer of de gMSA-referentiespecificatie werkt met de volgende opdracht:

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

GMSA-logboeken verzamelen van uw Windows-knooppunten

De volgende opdracht kan worden gebruikt om logboeken uit de Windows-hosts te extraheren:

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

De logboeken worden gekopieerd van elke Windows-hosts naar de lokale map $params["logs-directory"]. De logboekmap heeft een submap met de naam van elke Windows-agenthost. Het CCG-logboekbestand (Container Credential Guard) .evtx kan correct worden bekeken in Windows Logboeken, pas nadat aan de volgende voorwaarden is voldaan:

  • De windows-functie Containers is geïnstalleerd. Deze kan worden geïnstalleerd via PowerShell met behulp van de volgende opdracht:
# Needs computer restart
Install-WindowsFeature -Name Containers
  • Het logboekmanifestbestand CCGEvents.man is geregistreerd via:
wevtutil im CCGEvents.man

Notitie

Het manifestbestand voor logboekregistratie moet worden opgegeven door Microsoft.

Voorbeeldtoepassing instellen met gMSA

Naast het stroomlijnen van de configuratie van gMSA op AKS, biedt de PowerShell-module ook een voorbeeldtoepassing die u kunt gebruiken voor testdoeleinden. Voer het volgende uit om de voorbeeldtoepassing te installeren:

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Toegang van de AKS-agentpool tot Azure Key Vault valideren

Uw AKS-knooppuntgroepen moeten toegang hebben tot het Azure Key Vault-geheim om het account te kunnen gebruiken dat de gMSA in Active Directory kan ophalen. Het is belangrijk dat u deze toegang correct hebt geconfigureerd, zodat uw knooppunten kunnen communiceren met uw Active Directory-domeincontroller. Geen toegang tot de geheimen betekent dat uw toepassing niet kan worden geverifieerd. Aan de andere kant wilt u er misschien voor zorgen dat er geen toegang wordt verleend aan knooppuntgroepen die deze niet noodzakelijkerwijs nodig hebben.

Met de gMSA op AKS PowerShell-module kunt u valideren welke knooppuntgroepen toegang hebben tot welke geheimen in Azure Key Vault.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

Feedback delen

Ga naar de opslagplaats Windows Containers op GitHubvoor feedback, vragen en suggesties over de gMSA op AKS PowerShell-module.