Implementar cargas de trabalho do Windows em contêineres

Concluído

A Contoso conta com o AD DS como seu provedor de identidade para cargas de trabalho baseadas em Windows e Linux, com Kerberos como o protocolo de autenticação principal. A equipe de Segurança da Informação pediu que você investigasse as opções para integrar cargas de trabalho em contêineres hospedadas pelo AKS no Azure Stack HCI com o ambiente AD DS da Contoso. Considerando que você pretende implantar nós e contêineres baseados no Windows em clusters Kubernetes, você deseja determinar até que ponto essa integração é possível.

Integrar contêineres do Windows no AKS no Azure Stack HCI com AD DS

Pode haver cenários em que aplicativos baseados no Windows em contêineres executados em pods do Kubernetes precisem de acesso a recursos protegidos pelo AD DS. Essa funcionalidade requer o uso de uma identidade baseada em domínio do AD DS para concluir com êxito as tarefas de autenticação e autorização. Para implementar essa identidade, você pode usar Contas de Serviço Gerenciado de Grupo (gMSA).

Em comparação com o método tradicional de gerenciamento de identidades para serviços e aplicativos do Windows que precisam ser capazes de autenticar por conta própria, o gMSA oferece vários benefícios, que incluem alterações automáticas de senha, configuração e manutenção simplificadas e suporte para gerenciamento delegado.

Para permitir que os pods usem o gMSA para autenticação, junte todos os nós de trabalho do Kubernetes baseados no Windows Server que hospedarão os pods em um domínio do AD DS. Execute a associação de domínio conectando-se a cada nó por meio do Secure Shell (SSH) e, em seguida, executando o utilitário de linha de comando netdom.exe com a opção de associação.

O restante do processo é o mesmo que em qualquer cluster Kubernetes que inclua nós de trabalho do Windows Server e tem as seguintes etapas de alto nível:

1. Provisionar um gMSA no AD DS e atribuí-lo aos nós do Windows Server.
2. Definição de um tipo de recurso Kubernetes personalizado que representa o AD DS gMSA (GMSACredentialSpec).
3. Configuração de um mecanismo baseado em webhook que preenche e valida automaticamente referências GMSACredentialSpec para pods e contêineres.
4. Criação de um recurso personalizado com base no tipo de recurso GMSACredentialSpec.
5. Definição de uma função de cluster para habilitar o RBAC para o recurso GMSACredentialSpec.
6. Atribuir a função ao AD DS gMSA para autorizar o uso do recurso GMSACredentialSpec correspondente.
7. Incluindo uma referência ao recurso GMSACredentialSpec na definição de pods que o usarão para autenticação do AD DS.

Nota

Para habilitar o suporte a gMSA, o nome do cluster Kubernetes não pode exceder três caracteres. Essa restrição resulta do limite de 15 caracteres de um nome de computador associado a um domínio.

Verificação de conhecimento

1.

A equipe de Segurança da Informação da Contoso solicita que você investigue as opções para implementar a autenticação baseada no AD DS de cargas de trabalho em contêineres baseadas no Windows hospedadas pelo AKS no Azure Stack HCI. Você começa implantando um cluster Kubernetes contendo nós do Windows Server em seu cluster HCI do Azure Stack. O que deve fazer a seguir?

Registar o cluster do Azure Stack HCI com o Azure.

Habilite o CredSSP no cluster HCI do Azure Stack.

Junte os nós do cluster Kubernetes do Windows Server ao domínio AD DS.

Tem de responder a todas as questões antes de verificar o seu trabalho.