Implementowanie konteneryzowanych obciążeń systemu Windows

Ukończone

Firma Contoso korzysta z usług AD DS jako dostawcy tożsamości dla obciążeń opartych na systemach Windows i Linux, a protokół Kerberos jest podstawowym protokołem uwierzytelniania. Zespół ds. zabezpieczeń informacji poprosił Cię o zbadanie opcji integracji konteneryzowanych obciążeń hostowanych przez usługę AKS w usłudze Azure Stack HCI ze środowiskiem usług AD DS firmy Contoso. Biorąc pod uwagę, że zamierzasz wdrożyć węzły i kontenery oparte na systemie Windows w klastrach Kubernetes, chcesz określić, w jakim zakresie taka integracja jest możliwa.

Integrowanie kontenerów systemu Windows w usłudze AKS w usłudze Azure Stack HCI z usługami AD DS

Mogą istnieć scenariusze, w których konteneryzowane aplikacje oparte na systemie Windows działające w zasobnikach Kubernetes mogą wymagać dostępu do zasobów chronionych przez usługi AD DS. Takie funkcje wymagają użycia tożsamości opartej na domenie usług AD DS do pomyślnego ukończenia zadań uwierzytelniania i autoryzacji. Aby zaimplementować tę tożsamość, możesz użyć kont usług zarządzanych przez grupę (gMSA).

W porównaniu z tradycyjną metodą zarządzania tożsamościami dla usług i aplikacji systemu Windows, które muszą być w stanie uwierzytelniać się samodzielnie, gMSA oferuje kilka korzyści, które obejmują automatyczne zmiany haseł, uproszczoną konfigurację i konserwację oraz obsługę zarządzania delegowanego.

Aby umożliwić zasobnikom używanie gMSA do uwierzytelniania, dołącz wszystkie węzły robocze kubernetes oparte na systemie Windows Server, które będą hostować zasobniki do domeny usług AD DS. Wykonaj przyłączanie do domeny, łącząc się z każdym węzłem za pośrednictwem protokołu Secure Shell (SSH), a następnie uruchamiając narzędzie wiersza polecenia netdom.exe z przełącznikiem sprzężenia.

Pozostała część procesu jest taka sama jak w każdym klastrze Kubernetes, który obejmuje węzły procesu roboczego systemu Windows Server, i ma następujące ogólne kroki:

1. Aprowizowanie konta zarządzanego przez użytkownika w usługach AD DS i przypisywanie go do węzłów systemu Windows Server.
2. Definiowanie niestandardowego typu zasobu Kubernetes reprezentującego grupę usług AD DS (GMSACredentialSpec).
3. Konfigurowanie mechanizmu opartego na elementach webhook, który automatycznie wypełnia i weryfikuje odwołania GMSACredentialSpec dla zasobników i kontenerów.
4. Tworzenie zasobu niestandardowego na podstawie typu zasobu GMSACredentialSpec.
5. Definiowanie roli klastra w celu włączenia kontroli dostępu opartej na rolach dla zasobu GMSACredentialSpec.
6. Przypisanie roli do usługi AD DS gMSA w celu autoryzowania użycia odpowiedniego zasobu GMSACredentialSpec.
7. Dołączenie odwołania do zasobu GMSACredentialSpec w definicji zasobników, które będą go używać do uwierzytelniania usług AD DS.

Uwaga

Aby włączyć obsługę gMSA, nazwa klastra Kubernetes nie może przekraczać trzech znaków. To ograniczenie wynika z 15-znakowego limitu nazwy komputera przyłączonego do domeny.

Test wiedzy

1.

Zespół ds. zabezpieczeń informacji firmy Contoso żąda, aby zbadać opcje implementowania uwierzytelniania opartego na usługach AD DS obciążeń konteneryzowanych opartych na systemie Windows hostowanych przez usługę AKS w usłudze Azure Stack HCI. Zacznij od wdrożenia klastra Kubernetes zawierającego węzły systemu Windows Server w klastrze azure Stack HCI. Co musisz zrobić?

Zarejestrowanie klastra rozwiązania Azure Stack HCI na platformie Azure.

Włącz protokół CredSSP w klastrze usługi Azure Stack HCI.

Dołącz węzły klastra Kubernetes systemu Windows Server do domeny usług AD DS.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.