Beheerde identiteit gebruiken met Bridge to Kubernetes
Notitie
Bridge to Kubernetes wordt op 30 april 2025 buiten gebruik gesteld. Zie de GitHub-probleemvoor meer informatie over de buitengebruikstelling en opensource-alternatieven.
Als uw AKS-cluster gebruikmaakt van beheerde identiteit beveiligingsfuncties om de toegang tot geheimen en resources te beveiligen, heeft Bridge naar Kubernetes een speciale configuratie nodig om ervoor te zorgen dat deze functies kunnen werken. Er moet een Microsoft Entra-token worden gedownload naar de lokale computer om ervoor te zorgen dat lokale uitvoering en foutopsporing correct is beveiligd. Hiervoor is een speciale configuratie in Bridge to Kubernetes vereist. In dit artikel wordt beschreven hoe u Bridge naar Kubernetes configureert om te werken met services die gebruikmaken van beheerde identiteiten.
Uw service configureren voor het gebruik van een beheerde identiteit
Als u een lokale computer met ondersteuning voor beheerde identiteit wilt inschakelen, voegt u in het bestand KubernetesLocalConfig.yaml in de sectie enableFeaturesManagedIdentitytoe. Voeg de sectie enableFeatures toe als deze nog niet aanwezig is.
enableFeatures:
- ManagedIdentity
Waarschuwing
Zorg ervoor dat u alleen beheerde identiteit gebruikt voor Bridge to Kubernetes wanneer u met ontwikkelclusters werkt, niet productieclusters, omdat het Microsoft Entra-token wordt opgehaald naar de lokale computer, wat een potentieel beveiligingsrisico vormt.
Als u geen KubernetesLocalConfig.yaml-bestand hebt, kunt u er een maken; zie Procedure: Bridge naar Kubernetes configureren.
De Microsoft Entra-tokens ophalen
U moet ervoor zorgen dat u in de code gebruik maakt van Azure.Identity.DefaultAzureCredential of Azure.Identity.ManagedIdentityCredential bij het ophalen van het token.
De volgende C#-code laat zien hoe u referenties voor het opslagaccount ophaalt wanneer u ManagedIdentityCredentialgebruikt:
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
De volgende code laat zien hoe u referenties voor het opslagaccount ophaalt wanneer u DefaultAzureCredential gebruikt:
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Zie de sectie Volgende stappen voor meer informatie over het openen van andere Azure-resources met behulp van een beheerde identiteit.
Azure-waarschuwingen ontvangen wanneer tokens worden gedownload
Wanneer u Bridge naar Kubernetes op een service gebruikt, wordt het Microsoft Entra-token gedownload naar de lokale computer. U kunt Azure-waarschuwingen inschakelen om een melding te ontvangen wanneer dit gebeurt. Zie Azure Defender-inschakelen voor meer informatie. Houd er rekening mee dat er kosten in rekening worden gebracht (na een proefperiode van 30 dagen).
Volgende stappen
Nu u Bridge hebt geconfigureerd voor Kubernetes om te werken met uw AKS-cluster dat gebruikmaakt van beheerde identiteit, kunt u fouten opsporen zoals normaal. Zie [bridge-to-kubernetes.md#verbind-met-je-cluster-en-debug-een-service].
Volg deze zelfstudies voor meer informatie over het gebruik van beheerde identificatie om toegang te krijgen tot Azure-resources:
- Zelfstudie: Een door het Linux-VM-systeem toegewezen beheerde identiteit gebruiken voor toegang tot Azure Storage
- zelfstudie: Een door het Linux-VM-systeem toegewezen beheerde identiteit gebruiken voor toegang tot Azure Data Lake Store
- Zelfstudie: Een door het Linux-VM-systeem toegewezen beheerde identiteit gebruiken voor toegang tot Azure Key Vault-
Er zijn ook andere tutorials in dat onderdeel voor het gebruik van beheerde identiteiten om toegang te verkrijgen tot andere Azure-resources.