Реализация контейнерных рабочих нагрузок Windows

Завершено

Компания Contoso использует AD DS в качестве поставщика удостоверений для рабочих нагрузок на основе Windows и Linux, а Kerberos — в качестве основного протокола проверки подлинности. Группа информационной безопасности попросила изучить варианты интеграции контейнерных рабочих нагрузок, размещенных в AKS в Azure Stack HCI, со средой AD DS компании Contoso. Учитывая, что вы планируете развертывать узлы и контейнеры на базе Windows в кластерах Kubernetes, необходимо определить, в какой степени возможна такая интеграция.

Интеграция контейнеров Windows в AKS в Azure Stack HCI с AD DS

Возможны ситуации, в которых контейнерным приложениям Windows, работающим в модулях Pod Kubernetes, может потребоваться доступ к ресурсам, защищенным AD DS. Такая функциональность требует использования удостоверения AD DS на основе домена для успешного выполнения задач проверки подлинности и авторизации. Чтобы реализовать это удостоверение, можно использовать групповые управляемые учетные записи служб (gMSA).

По сравнению с традиционным методом управления удостоверениями для служб и приложений Windows, которым необходима возможность самостоятельной проверки подлинности, gMSA предлагает несколько преимуществ, включая автоматическое изменение паролей, упрощенную установку и обслуживание, а также поддержку делегированного управления.

Чтобы разрешить использование модулей Pod для проверки подлинности gMSA, присоедините все рабочие узлы Kubernetes на основе Windows Server, которые будут размещать модули Pod в домене AD DS. Выполните присоединение к домену, подключившись к каждому узлу через Secure Shell (SSH), а затем запустите программу командной строки netdom.exe с параметром присоединения.

Остальная часть процесса такая же, как и в любом кластере Kubernetes, который содержит рабочие узлы Windows Server, и имеет следующие общие шаги:

1. Подготовка gMSA в AD DS и назначение ее узлам Windows Server.
2. Определение пользовательского типа ресурса Kubernetes, представляющего gMSA AD DS (GMSACredentialSpec).
3. Настройка механизма на основе веб-перехватчика, который автоматически заполняет и проверяет ссылки GMSACredentialSpec для модулей Pod и контейнеров.
4. Создание настраиваемого ресурса на основе типа ресурса GMSACredentialSpec.
5. Определение роли кластера для включения RBAC для ресурса GMSACredentialSpec.
6. Назначение роли gMSA AD DS для авторизации использования соответствующего ресурса GMSACredentialSpec.
7. Включение ссылки на ресурс GMSACredentialSpec в определении модулей Pod, которые будут использовать его для проверки подлинности AD DS.

Примечание.

Чтобы включить поддержку gMSA, имя кластера Kubernetes не должно содержать более трех символов. Это ограничение является результатом ограничения имени компьютера (15 символов), присоединенного к домену.

Проверка знаний

1.

Группа информационной безопасности компании Contoso просит вас исследовать варианты реализации проверки подлинности AD DS контейнерных рабочих нагрузок на основе Windows, размещенных в AKS в Azure Stack HCI. Вы начали с развертывания кластера Kubernetes, содержащего узлы Windows Server, в кластер Azure Stack HCI. Что следует сделать дальше?

Зарегистрировать кластер Azure Stack HCI в Azure.

Включить CredSSP в кластере Azure Stack HCI.

Присоединить узлы Kubernetes кластера Windows Server к домену AD DS.

Вы должны ответить на все вопросы перед проверкой.