Implementar cargas de trabalho do Windows conteinerizadas

Concluído

A Contoso depende do AD DS como seu provedor de identidade para cargas de trabalho baseadas em Windows e Linux, com Kerberos como o protocolo de autenticação primário. A equipe de Segurança da Informação solicitou que você investigasse as opções para integrar cargas de trabalho conteinerizadas hospedadas pelo AKS no Azure Stack HCI com o ambiente AD DS da Contoso. Considerando que você pretende implantar nós e contêineres baseados no Windows em clusters do Kubernetes, você deseja determinar até que ponto essa integração é possível.

Integrar contêineres do Windows no AKS no Azure Stack HCI com o AD DS

Pode haver cenários em que aplicativos conteinerizados baseados em Windows em execução em pods do Kubernetes podem precisar de acesso a recursos protegidos pelo AD DS. Essa funcionalidade requer o uso de uma identidade baseada em domínio do AD DS para concluir com êxito as tarefas de autenticação e autorização. Para implementar essa identidade, você pode usar gMSA (Contas de Serviço Gerenciado de Grupo).

Comparado ao método tradicional de gerenciamento de identidades para serviços e aplicativos do Windows que precisam ser autenticados por conta própria, a gMSA oferece vários benefícios, que incluem alterações automáticas de senha, configuração e manutenção simplificadas e suporte para gerenciamento delegado.

Para permitir que os pods usem a gMSA para autenticação, junte todos os nós de trabalho do Kubernetes baseados no Windows Server que hospedarão os pods para um domínio do AD DS. Execute o ingresso no domínio conectando-se a cada nó por meio do SSH (Secure Shell) e, em seguida, executando o utilitário de linha de comando netdom.exe com a opção de junção.

O restante do processo é o mesmo que em qualquer cluster do Kubernetes que inclui nós de trabalho do Windows Server e tem as seguintes etapas de alto nível:

1. Provisionamento de uma gMSA no AD DS e atribuição aos nós do Windows Server.
2. Definição de um tipo de recurso do Kubernetes personalizado que representa a gMSA do AD DS (GMSACredentialSpec).
3. Configuração de um mecanismo baseado em webhook que preenche e valida automaticamente as referências GMSACredentialSpec para pods e contêineres.
4. Criação de um recurso personalizado com base no tipo de recurso GMSACredentialSpec.
5. Definição de uma função de cluster para habilitar o RBAC para o recurso GMSACredentialSpec.
6. Atribuição da função à gMSA do AD DS para autorizar seu uso do recurso GMSACredentialSpec correspondente.
7. Inclusão de uma referência ao recurso GMSACredentialSpec na definição de pods que o usarão para a autenticação do AD DS.

Observação

Para ativar o suporte a gMSA, o nome do cluster do Kubernetes não pode exceder três caracteres. Essa restrição resulta do limite de 15 caracteres de um nome de computador associado a um domínio.

Verificação de conhecimentos

1.

A equipe de Segurança da Informação da Contoso solicita que você investigue as opções para implementar a autenticação baseada no AD DS de cargas de trabalho conteinerizadas baseadas no Windows hospedadas pelo AKS no Azure Stack HCI. Comece implantando um cluster do Kubernetes contendo nós do Windows Server em seu cluster do Azure Stack HCI. O que você deverá fazer em seguida?

Registrar o cluster do Azure Stack HCI no Azure.

Habilitar o CredSSP no cluster do Azure Stack HCI.

Ingressar os nós do Windows Server do cluster Kubernetes no domínio do AD DS.

É necessário responder a todas as perguntas antes de verificar o trabalho.