Использование управляемой идентификации с Bridge to Kubernetes
Заметка
Мост к Kubernetes будет снят с использования 30 апреля 2025 года. Дополнительные сведения о снятии с поддержки и свободных альтернативах см. в GitHub, в обсуждении , вопрос.
Если в кластере AKS используется управляемое удостоверение функции безопасности для защиты доступа к секретам и ресурсам, мост к Kubernetes требует специальной конфигурации, чтобы обеспечить работу с этими функциями. Маркер Microsoft Entra необходимо скачать на локальный компьютер, чтобы обеспечить правильную защиту локального выполнения и отладки, и для этого требуется определенная специальная конфигурация в Bridge to Kubernetes. В этой статье показано, как настроить Bridge to Kubernetes для работы со службами, используюющими управляемое удостоверение.
Как настроить вашу службу для использования управляемого удостоверения
Чтобы включить локальную машину с поддержкой управляемого удостоверения, в файле KubernetesLocalConfig.yaml в разделе enableFeatures добавьте ManagedIdentity. Добавьте раздел enableFeatures, если он еще не существует.
enableFeatures:
- ManagedIdentity
Предупреждение
Не забудьте использовать только управляемое удостоверение для Bridge to Kubernetes при работе с кластерами разработки, а не продуктивными кластерами, так как токен Microsoft Entra извлекается на локальный компьютер, что представляет потенциальный риск безопасности.
Если у вас нет файла KubernetesLocalConfig.yaml, его можно создать; см. руководство: настройка моста в Kubernetes.
Как получить токены Microsoft Entra
При получении токена необходимо убедиться, что вы используете Azure.Identity.DefaultAzureCredential или Azure.Identity.ManagedIdentityCredential в коде.
В следующем коде C# показано, как получить учетные данные учетной записи хранения при использовании ManagedIdentityCredential:
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
В следующем коде показано, как получить учетные данные учетной записи хранения при использовании DefaultAzureCredential:
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Сведения о доступе к другим ресурсам Azure с помощью управляемого удостоверения см. в разделе Дальнейшие действия.
Получайте оповещения Azure при загрузке токенов.
Каждый раз, когда вы используете Bridge to Kubernetes в службе, маркер Microsoft Entra загружается на локальный компьютер. Оповещения Azure можно включить, когда это происходит. Для получения информации см. раздел Включение Azure Defender. Обратите внимание, что плата взимается (после 30-дневного пробного периода).
Дальнейшие действия
Теперь, когда вы настроили Bridge to Kubernetes для работы с кластером AKS, использующим управляемое удостоверение, можно выполнять отладку как обычно. См. статью [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].
Дополнительные сведения об использовании управляемой идентификации для доступа к ресурсам Azure см. в следующих руководствах:
- Руководство по . Использование управляемого удостоверения, назначаемого системой виртуальной машины Linux, для доступа к службе хранилища Azure
- Руководство по . Использование управляемого удостоверения, назначаемого системой виртуальной машины Linux, для доступа к Azure Data Lake Store
- Руководство по . Использование управляемого удостоверения, назначаемого системой виртуальной машины Linux, для доступа к Azure Key Vault
В этом разделе также содержатся другие учебники по использованию управляемого удостоверения для доступа к другим ресурсам Azure.