Udostępnij za pośrednictwem

Używanie tożsamości zarządzanej z rozwiązaniem Bridge to Kubernetes

  • Artykuł

Notatka

Firma Microsoft planuje już nie obsługiwać projektu Bridge to Kubernetes. W ciągu najbliższych kilku miesięcy przeniesiemy projekt do stanu archiwalnego. W międzyczasie projekt jest nadal dostępny do użycia i pobrać. W tym okresie mamy nadzieję, że zbadamy i polecimy projekty społeczności, które zapewniają podobne korzyści jak Bridge to Kubernetes, do przyszłego wykorzystania. Jeśli masz pytania, skontaktuj się z nami na tablicy problemów w witrynie GitHub.

Jeśli klaster usługi AKS używa tożsamości zarządzanej i funkcji zabezpieczeń do zabezpieczania dostępu do tajemnic i zasobów, Bridge to Kubernetes wymaga specjalnej konfiguracji, aby zapewnić, że może współpracować z tymi funkcjami. Token Firmy Microsoft Entra należy pobrać na komputer lokalny, aby upewnić się, że lokalne wykonywanie i debugowanie jest prawidłowo zabezpieczone. Wymaga to specjalnej konfiguracji w rozwiązaniu Bridge to Kubernetes. W tym artykule pokazano, jak skonfigurować rozwiązanie Bridge to Kubernetes do pracy z usługami korzystającymi z tożsamości zarządzanej.

Jak skonfigurować usługę do korzystania z tożsamości zarządzanej

Aby włączyć maszynę lokalną z obsługą tożsamości zarządzanej, w pliku KubernetesLocalConfig.yaml w sekcji enableFeatures dodaj ManagedIdentity. Dodaj sekcję enableFeatures, jeśli jeszcze jej nie ma.

enableFeatures:
  - ManagedIdentity

Ostrzeżenie

Pamiętaj, aby używać tożsamości zarządzanej tylko dla rozwiązania Bridge to Kubernetes podczas pracy z klastrami deweloperskimi, a nie z klastrów produkcyjnych, ponieważ token Entra firmy Microsoft jest pobierany do komputera lokalnego, co stanowi potencjalne zagrożenie bezpieczeństwa.

Jeśli nie masz pliku KubernetesLocalConfig.yaml, możesz go utworzyć; zobacz Jak: Konfigurować Bridge to Kubernetes.

Jak pobrać tokeny usługi Microsoft Entra

Podczas pobierania tokenu należy upewnić się, że korzystasz z Azure.Identity.DefaultAzureCredential lub Azure.Identity.ManagedIdentityCredential w kodzie.

Poniższy kod w języku C# pokazuje, jak pobrać poświadczenia konta magazynu podczas korzystania z ManagedIdentityCredential:

var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Poniższy kod przedstawia sposób pobierania poświadczeń konta magazynu podczas korzystania z DefaultAzureCredential.

var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Aby dowiedzieć się, jak uzyskać dostęp do innych zasobów platformy Azure przy użyciu tożsamości zarządzanej, zobacz sekcję Następne kroki.

Otrzymywanie alertów platformy Azure po pobraniu tokenów

Gdykolwiek używasz narzędzia Bridge dla Kubernetes w usłudze, token Entra firmy Microsoft jest pobierany na lokalny komputer. Możesz włączyć alerty platformy Azure, aby otrzymywać powiadomienia w takim przypadku. Aby uzyskać więcej informacji, zobacz Enable Azure Defender. Pamiętaj, że jest naliczana opłata (po upływie 30-dniowego okresu próbnego).

Następne kroki

Po skonfigurowaniu rozwiązania Bridge to Kubernetes do pracy z klastrem usługi AKS używającym tożsamości zarządzanej można debugować w zwykły sposób. Zobacz [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].

Dowiedz się więcej o korzystaniu z tożsamości zarządzanej w celu uzyskania dostępu do zasobów platformy Azure, wykonując następujące samouczki:

W tej sekcji przedstawiono również inne samouczki dotyczące używania tożsamości zarządzanej do uzyskiwania dostępu do innych zasobów platformy Azure.

Zobacz też

Microsoft Entra ID