gMSA no Serviço de Kubernetes do Azure
As gMSA (Contas de Serviço Gerenciado de Grupo) podem ser usadas no AKS (Serviço de Kubernetes do Azure) para dar suporte a aplicativos que exigem o Active Directory para fins de autenticação. A configuração do gMSA no AKS exige que você configure corretamente os seguintes serviços e configurações: AKS, Azure Key Vault, Active Directory, especificações de credencial etc. Para simplificar esse processo, você pode usar o módulo do PowerShell abaixo. Este módulo foi feito sob medida para simplificar o processo de configuração de gMSA no AKS removendo a complexidade de configurar serviços diferentes.
Requisitos de ambiente
Para implantar gMSA no AKS, você precisará do seguinte:
- Um cluster do AKS com nós do Windows em funcionamento. Se você não tiver um cluster AKS pronto, confira a documentação do Serviço de Kubernetes do Azure .
- Seu cluster deve ser autorizado para a gMSA no AKS. Para obter mais informações, confira Habilitar GMSA (Contas de Serviço Gerenciado de Grupo) em seus nós do Windows Server no cluster do AKS (Serviço de Kubernetes do Azure).
- Um ambiente do Active Directory configurado corretamente para gMSA. Detalhes sobre como configurar seu domínio serão fornecidos abaixo.
- Os nós do Windows no AKS devem ser capazes de se conectar aos controladores de domínio do Active Directory.
- Credenciais de domínio do Active Directory com autorização delegada para configurar o gMSA e um usuário de domínio padrão. Essa tarefa pode ser delegada a pessoas autorizadas (se necessário).
Instalar o gMSA no módulo do AKS PowerShell
Para começar, baixe o Módulo do PowerShell na galeria do PowerShell:
Install-Module -Name AksGMSA -Repository PSGallery -Force
Nota
O módulo gMSA no AKS PowerShell é constantemente atualizado. Se você executou as etapas neste tutorial antes e agora está verificando novamente as novas configurações, atualize o módulo para a versão mais recente. Você pode encontrar mais informações sobre o módulo na página Galeria do PowerShell.
Requisitos do módulo
O módulo gMSA no AKS PowerShell depende de diferentes módulos e ferramentas. Para instalar esses requisitos, execute o seguinte em uma sessão elevada:
Install-ToolingRequirements
Faça logon com sua credencial do Azure
Você precisará estar conectado ao Azure com suas credenciais para o módulo gMSA no AkS PowerShell para configurar corretamente o cluster do AKS. Para fazer logon no Azure por meio do PowerShell, execute o seguinte:
Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"
Você também precisa fazer login com a CLI do Azure, pois o módulo do PowerShell também utiliza isso em segundo plano.
az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"
Configurando as entradas necessárias para gMSA no módulo AKS
Ao longo da configuração da gMSA no AKS, muitas entradas serão necessárias, como: nome do cluster do AKS, nome do Grupo de Recursos do Azure, região para implantar os ativos necessários, nome de domínio do Active Directory e muito mais. Para simplificar o processo abaixo, criamos um comando de entrada que reunirá todos os valores necessários e o armazenará em uma variável que será usada nos comandos abaixo.
Para começar, execute o seguinte:
$params = Get-AksGMSAParameters
Depois de executar o comando, forneça as entradas necessárias até que o comando seja concluído. De agora em diante, você pode simplesmente copiar e colar os comandos, conforme mostrado nesta página.
Conectar-se ao cluster do AKS
Ao usar o gMSA no módulo do AKS PowerShell, você se conectará ao cluster do AKS que deseja configurar. O módulo do PowerShell da gMSA no AKS depende da conexão ao kubectl. Para conectar seu cluster, execute o seguinte: (Observe que, como você forneceu as entradas acima, você pode simplesmente copiar e colar o comando abaixo na sessão do PowerShell).
Import-AzAksCredential -Force `
-ResourceGroupName $params["aks-cluster-rg-name"] `
-Name $params["aks-cluster-name"]