Partilhar via

Validar gMSA no AKS com o módulo PowerShell

  • Artigo

Depois de configurar o gMSA no AKS com o módulo PowerShell, seu aplicativo estará pronto para ser implantado em seus nós do Windows no AKS. No entanto, se você quiser validar ainda mais se a configuração está configurada corretamente, você pode usar as instruções abaixo para confirmar se sua implantação está configurada corretamente.

Validação

O módulo gMSA no AKS PowerShell fornece um comando para validar se as configurações do seu ambiente estão configuradas corretamente. Valide se a especificação de credencial gMSA funciona com o seguinte comando:

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Recolher os logs gMSA dos seus nós do Windows

O comando a seguir pode ser usado para extrair logs dos hosts Windows:

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

Os logs serão copiados de cada host Windows para o diretório local $params["logs-directory"]. O diretório logs terá um subdiretório nomeado após cada host de agente do Windows. O arquivo de log .evtx do CCG (Container Credential Guard) pode ser inspecionado corretamente no Visualizador de Eventos, somente depois que os seguintes requisitos forem atendidos:

  • O recurso Containers Windows está instalado. Ele pode ser instalado via PowerShell usando o seguinte comando:
# Needs computer restart
Install-WindowsFeature -Name Containers
  • O ficheiro de manifesto de registo CCGEvents.man é registado via:
wevtutil im CCGEvents.man

Observação

O arquivo de manifesto de log precisa ser fornecido pela Microsoft.

Configurar aplicativo de exemplo usando gMSA

Além de simplificar a configuração do gMSA no AKS, o módulo PowerShell também fornece um aplicativo de exemplo para você usar para fins de teste. Para instalar o aplicativo de exemplo, execute o seguinte:

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Validar o acesso do pool de agentes AKS ao Cofre de Chaves do Azure

Os seus pools de nós AKS precisam ser capazes de aceder ao segredo de chave do Cofre de Chaves do Azure para utilizar uma conta capaz de recuperar o gMSA no Active Directory. É importante que você tenha configurado esse acesso corretamente para que seus nós possam se comunicar com o Controlador de Domínio Ative Directory. Não acessar os segredos significa que seu aplicativo não poderá se autenticar. Por outro lado, você pode querer garantir que nenhum acesso seja dado a pools de nós que não necessariamente precisam dele.

O módulo gMSA no AKS PowerShell permite validar quais pools de nós têm acesso a quais segredos no Cofre de Chaves do Azure.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

Partilhar comentários

Para comentários, perguntas e sugestões sobre o módulo gMSA no AKS PowerShell, é favor visitar o repositório Windows Containers no GitHub.