Compartilhar via

Validar gMSA no AKS com o módulo do PowerShell

  • Artigo

Depois de configurar o gMSA no AKS com o módulo do PowerShell, seu aplicativo estará pronto para ser implantado em seus nós do Windows no AKS. No entanto, se você quiser validar ainda mais se a configuração está configurada corretamente, use as instruções abaixo para confirmar se a implantação está configurada corretamente.

Validação

O módulo gMSA no AKS PowerShell fornece um comando para validar se as configurações do seu ambiente estão configuradas corretamente. Valide se a especificação de credencial gMSA funciona com o seguinte comando:

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Coletar logs da gMSA nos nós do Windows

O comando a seguir pode ser usado para extrair logs dos hosts do Windows:

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

Os logs serão copiados de cada host Windows para o diretório local $params["logs-directory"]. O diretório de logs terá um subdiretório com o nome de cada host do agente do Windows. O arquivo de log .evtx ccg (Container Credential Guard) pode ser inspecionado corretamente no Visualizador de Eventos, somente depois que os seguintes requisitos forem atendidos:

  • O recurso Contêineres do Windows está instalado. Ele pode ser instalado por meio do PowerShell usando o seguinte comando:
# Needs computer restart
Install-WindowsFeature -Name Containers
  • O arquivo de manifesto de registro CCGEvents.man é registrado por meio de:
wevtutil im CCGEvents.man

Nota

O arquivo de manifesto de registro precisa ser fornecido pela Microsoft.

Configurar aplicativo de exemplo usando gMSA

Além de simplificar a configuração do gMSA no AKS, o módulo do PowerShell também fornece um aplicativo de exemplo para você usar para fins de teste. Para instalar o aplicativo de exemplo, execute o seguinte:

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Validar o acesso do pool de agentes do AKS ao Azure Key Vault

Seus pools de nós do AKS precisam poder acessar o segredo do Azure Key Vault para usar a conta que pode recuperar a gMSA no Active Directory. É importante que você tenha configurado esse acesso corretamente para que os nós possam se comunicar com o Controlador de Domínio do Active Directory. Falha ao acessar os segredos significa que seu aplicativo não poderá se autenticar. Por outro lado, talvez você queira garantir que nenhum acesso seja dado aos pools de nós que não precisam necessariamente dele.

O módulo gMSA no AKS PowerShell permite validar quais grupos de nós têm acesso a quais segredos no Azure Key Vault.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

Compartilhar comentários

Para comentários, perguntas e sugestões sobre o módulo do PowerShell da gMSA no AKS, visite o repositório dos Contêineres do Windows no GitHub.