Поделиться через

Проверка gMSA в AKS с помощью модуля PowerShell

  • Статья

После настройки gMSA в AKS с помощью модуля PowerShell приложение будет готово к развертыванию на узлах Windows в AKS. Однако если вы хотите дополнительно проверить правильность настройки конфигурации, можно использовать приведенные ниже инструкции, чтобы убедиться, правильно ли настроено развертывание.

Ратификация

Модуль gMSA в AKS PowerShell предоставляет команду для проверки правильности настройки параметров для вашей среды. Убедитесь, что спецификация учетных данных gMSA работает со следующей командой:

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Соберите журналы gMSA с узлов Windows

Следующая команда может использоваться для извлечения журналов из узлов Windows:

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

Журналы будут скопированы из каждого узла Windows в локальный каталог $params["logs-directory"]. Каталог журналов будет содержать подкаталог, названный в честь каждого хоста агента Windows. Файл журнала .evtx (CCG (Container Credential Guard)) можно корректно просмотреть в Средстве просмотра событий только после выполнения следующих требований:

  • Установлен компонент "Контейнеры Windows". Его можно установить с помощью PowerShell с помощью следующей команды:
# Needs computer restart
Install-WindowsFeature -Name Containers
  • Файл манифеста ведения журнала CCGEvents.man регистрируется через:
wevtutil im CCGEvents.man

Заметка

Файл манифеста журнала должен быть предоставлен Microsoft.

Настройка примера приложения с помощью gMSA

Помимо оптимизации конфигурации gMSA в AKS, модуль PowerShell также предоставляет пример приложения для тестирования. Чтобы установить пример приложения, выполните следующее:

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Проверка доступа пула агентов AKS к Azure Key Vault

Пулы узлов AKS должны иметь доступ к секрету Azure Key Vault, чтобы воспользоваться учетной записью, которая может получить gMSA в Active Directory. Важно правильно настроить этот доступ, чтобы узлы могли взаимодействовать с контроллером домена Active Directory. Сбой доступа к секретам означает, что приложение не сможет пройти проверку подлинности. С другой стороны, вы можете убедиться, что доступ не предоставлен к пулам узлов, которым он не требуется.

Модуль gMSA в AKS PowerShell позволяет проверить, какие пулы узлов имеют доступ к секретам в Azure Key Vault.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

Поделиться отзывами

Для отзывов, вопросов и предложений по модулю PowerShell gMSA в AKS, пожалуйста, посетите репозиторий Windows Containers на GitHub .