Utilizar a identidade gerenciada com o Bridge to Kubernetes
Nota
O Bridge to Kubernetes será desativado em 30 de abril de 2025. Para obter detalhes sobre a aposentadoria e as alternativas de código aberto, consulte a issue do GitHub.
Se o cluster do AKS usar identidade gerenciada recursos de segurança para proteger o acesso a segredos e recursos, o Bridge to Kubernetes precisará de alguma configuração especial para garantir que ele possa funcionar com esses recursos. Um token do Microsoft Entra precisa ser baixado no computador local para garantir que a execução e a depuração locais estejam corretamente protegidas, e isso requer alguma configuração especial no Bridge to Kubernetes. Este artigo mostra como configurar o Bridge para o Kubernetes para trabalhar com serviços que usam a identidade gerenciada.
Como configurar seu serviço para usar a identidade gerenciada
Para habilitar um computador local com suporte para identidade gerenciada, no arquivo KubernetesLocalConfig.yaml, na seção enableFeatures, adicione ManagedIdentity. Adicione a seção enableFeatures se ela ainda não estiver lá.
enableFeatures:
- ManagedIdentity
Aviso
Certifique-se de usar apenas a identidade gerenciada para o Bridge to Kubernetes ao trabalhar com clusters de desenvolvimento, não clusters de produção, porque o token do Microsoft Entra é buscado para o computador local, o que representa um risco potencial de segurança.
Se você não tiver um arquivo KubernetesLocalConfig.yaml, poderá criar um; consulte Como: Configurar o Bridge to Kubernetes.
Como buscar os tokens do Microsoft Entra
Você deve garantir que está utilizando Azure.Identity.DefaultAzureCredential ou Azure.Identity.ManagedIdentityCredential no código ao buscar o token.
O código C# a seguir mostra como buscar credenciais de conta de armazenamento quando você usa ManagedIdentityCredential:
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
O código a seguir mostra como buscar credenciais de conta de armazenamento ao usar DefaultAzureCredential:
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Para saber como acessar outros recursos do Azure usando a identidade gerenciada, consulte a seção Próximas etapas.
Receber alertas do Azure quando os tokens forem baixados
Sempre que você usa o Bridge para Kubernetes em um serviço, o token do Microsoft Entra é baixado para o computador local. Você pode permitir que os alertas do Azure sejam notificados quando isso ocorrer. Para obter informações, consulte Habilitar o Azure Defender. Lembre-se de que há uma cobrança (após um período de avaliação de 30 dias).
Próximas etapas
Agora que configurou o Bridge to Kubernetes para funcionar com o cluster do AKS que usa a identidade gerenciada, você pode depurar normalmente. Confira [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].
Saiba mais sobre como usar a identificação gerenciada para acessar os recursos do Azure seguindo estes tutoriais:
- Tutorial: usar uma identidade gerenciada atribuída pelo sistema de VM linux para acessar o Armazenamento do Azure
- Tutorial: usar uma identidade gerenciada atribuída pelo sistema de VM linux para acessar o Azure Data Lake Store
- Tutorial: usar uma identidade gerenciada atribuída pelo sistema de VM linux para acessar o Azure Key Vault
Há outros tutoriais nessa seção também para usar a identidade gerenciada para acessar outros recursos do Azure.