Udostępnij za pośrednictwem

Weryfikowanie konta gMSA w usłudze AKS przy użyciu modułu programu PowerShell

  • Artykuł

Po skonfigurowaniu usługi gMSA w usłudze AKS za pomocą modułu programu PowerShell aplikacja jest gotowa do wdrożenia w węzłach systemu Windows w usłudze AKS. Jeśli jednak chcesz jeszcze bardziej zweryfikować poprawność konfiguracji, możesz użyć poniższych instrukcji, aby potwierdzić, czy wdrożenie jest prawidłowo skonfigurowane.

Walidacja

Moduł gMSA w usłudze AKS programu PowerShell udostępnia polecenie umożliwiające sprawdzenie, czy ustawienia środowiska są prawidłowo skonfigurowane. Sprawdź, czy specyfikacja poświadczeń gMSA działa z następującym poleceniem:

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Zbieraj dzienniki gMSA z węzłów systemu Windows

Następujące polecenie może służyć do wyodrębniania dzienników z hostów systemu Windows:

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

Dzienniki zostaną skopiowane z poszczególnych hostów systemu Windows do katalogu lokalnego $params["logs-directory"]. Katalog dzienników będzie miał podkatalog o nazwie po każdym hoście agenta systemu Windows. Plik dziennika CCG (Container Credential Guard) .evtx można dokładnie przeanalizować w Podglądzie zdarzeń, dopiero po spełnieniu następujących wymagań:

  • Funkcja Kontenery Windows jest zainstalowana. Można go zainstalować za pomocą programu PowerShell za pomocą następującego polecenia:
# Needs computer restart
Install-WindowsFeature -Name Containers
  • Plik manifestu rejestrowania CCGEvents.man jest rejestrowany za pośrednictwem:
wevtutil im CCGEvents.man

Notatka

Plik manifestu rejestrowania musi zostać udostępniony przez firmę Microsoft.

Konfigurowanie przykładowej aplikacji przy użyciu usługi gMSA

Oprócz usprawniania konfiguracji usługi gMSA w usłudze AKS moduł programu PowerShell udostępnia również przykładową aplikację do celów testowych. Aby zainstalować przykładową aplikację, uruchom następujące polecenie:

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Weryfikowanie dostępu puli agentów usługi AKS do usługi Azure Key Vault

Pule węzłów AKS muszą mieć dostęp do tajemniczego klucza usługi Azure Key Vault, aby można było użyć konta, które może pobrać gMSA w usłudze Active Directory. Należy prawidłowo skonfigurować ten dostęp, aby węzły mogły komunikować się z kontrolerem domeny usługi Active Directory. Brak dostępu do tajnych informacji oznacza, że aplikacja nie będzie mogła się uwierzytelnić. Z drugiej strony, warto zadbać o to, aby nie było dostępu do pul węzłów, które go nie potrzebują.

Moduł gMSA programu PowerShell dla AKS umożliwia sprawdzenie, które pule węzłów mają dostęp do tajemnic w usłudze Azure Key Vault.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

Podziel się opinią

Aby uzyskać opinie, pytania i sugestie dotyczące modułu gMSA w usłudze AKS programu PowerShell, odwiedź repozytorium Kontenery systemu Windows w witrynie GitHub.