usługa gMSA w usłudze Azure Kubernetes Service
Konta usługi zarządzane przez grupę (gMSA) mogą być używane w usłudze Azure Kubernetes Service (AKS) do obsługi aplikacji, które wymagają usługi Active Directory do celów uwierzytelniania. Konfiguracja usługi gMSA w usłudze AKS wymaga prawidłowego skonfigurowania następujących usług i ustawień: AKS, Azure Key Vault, Active Directory, specyfikacji poświadczeń itp. Aby usprawnić ten proces, możesz użyć poniższego modułu programu PowerShell. Ten moduł został dostosowany do uproszczenia procesu konfigurowania usługi gMSA w usłudze AKS przez usunięcie złożoności konfigurowania różnych usług.
Wymagania dotyczące środowiska
Aby wdrożyć gMSA na AKS, będziesz potrzebować następujących elementów:
- Klaster usługi AKS z uruchomionymi węzłami systemu Windows. Jeśli nie masz gotowego klastra usługi AKS, zapoznaj się z dokumentacją usługi Azure Kubernetes Service .
- Twój klaster musi być autoryzowany do użycia gMSA na AKS. Aby uzyskać więcej informacji, zobacz Włącz Grupowe Zarządzane Konto Usług (GMSA) na węzłach usługi Windows Server w swoim klastrze Azure Kubernetes Service (AKS).
- Prawidłowo skonfigurowane środowisko Active Directory dla grupowej zarządzanej usługi konta. Szczegółowe informacje na temat konfigurowania domeny zostaną podane poniżej.
- Węzły systemu Windows w usłudze AKS muszą mieć możliwość nawiązania połączenia z kontrolerami domeny usługi Active Directory.
- Poświadczenia domeny usługi Active Directory z delegowaniem autoryzacji w celu skonfigurowania konta usługi gMSA i użytkownika domeny standardowej. To zadanie można delegować do autoryzowanych osób (w razie potrzeby).
Instalowanie usługi gMSA w module programu PowerShell usługi AKS
Aby rozpocząć, pobierz moduł programu PowerShell z galerii programu PowerShell:
Install-Module -Name AksGMSA -Repository PSGallery -Force
Uwaga
Moduł gMSA w usłudze AKS programu PowerShell jest stale aktualizowany. Jeśli wcześniej uruchomiono kroki opisane w tym samouczku i teraz sprawdzasz ponownie nowe konfiguracje, upewnij się, że moduł został zaktualizowany do najnowszej wersji. Więcej informacji na temat modułu można znaleźć na stronie galerii programu PowerShell.
Wymagania dotyczące modułu
Moduł gMSA dla AKS w PowerShell opiera się na różnych modułach i narzędziach. Aby zainstalować te wymagania, uruchom następujące polecenie w sesji z podwyższonym poziomem uprawnień:
Install-ToolingRequirements
Zaloguj się przy użyciu poświadczeń platformy Azure
Aby prawidłowo skonfigurować klaster AKS, musisz zalogować się na platformie Azure przy użyciu poświadczeń dla konta gMSA w module PowerShell dla AKS. Aby zalogować się do platformy Azure za pomocą programu PowerShell, uruchom następujące polecenie:
Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"
Musisz również zalogować się przy użyciu interfejsu wiersza polecenia platformy Azure, ponieważ moduł programu PowerShell używa go również w tle:
az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"
Konfigurowanie wymaganych danych wejściowych dla usługi gMSA w module usługi AKS
Podczas konfiguracji usługi gMSA w AKS będzie potrzebnych wiele danych wejściowych, takich jak: nazwa klastra AKS, nazwa grupy zasobów Azure, region do wdrożenia niezbędnych zasobów, nazwa domeny Active Directory i wiele innych. Aby usprawnić poniższy proces, utworzyliśmy polecenie wejściowe, które zbierze wszystkie niezbędne wartości i zapisze je w zmiennej, która będzie następnie używana w poniższych poleceniach.
Aby rozpocząć, uruchom następujące polecenie:
$params = Get-AksGMSAParameters
Po uruchomieniu polecenia podaj niezbędne dane wejściowe do momentu zakończenia polecenia. Teraz możesz po prostu skopiować i wkleić polecenia, jak pokazano na tej stronie.
Nawiązywanie połączenia z klastrem usługi AKS
Korzystając z modułu gMSA w usłudze AKS programu PowerShell, połączysz się z klastrem usługi AKS, który chcesz skonfigurować. Moduł gMSA on AKs programu PowerShell opiera się na połączeniu kubectl. Aby połączyć klaster, uruchom następujące polecenie: (zwróć uwagę, że ponieważ podano powyższe dane wejściowe, możesz po prostu skopiować i wkleić poniższe polecenie do sesji programu PowerShell).
Import-AzAksCredential -Force `
-ResourceGroupName $params["aks-cluster-rg-name"] `
-Name $params["aks-cluster-name"]