Использование управляемого удостоверения с Bridge to Kubernetes

Статья
10/25/2024

Примечание.

Корпорация Майкрософт планирует больше не поддерживать проект Bridge to Kubernetes. В течение следующих нескольких месяцев мы передаем проект в архивное состояние. В то же время проект по-прежнему доступен для использования и скачивания. В течение этого периода мы надеемся изучить и рекомендовать проекты сообщества, которые обеспечивают аналогичные преимущества Bridge to Kubernetes для вашего будущего использования. Если у вас есть вопросы, обратитесь к нам на борту вопросов на сайте GitHub.

Если кластер AKS использует функции безопасности управляемого удостоверения для безопасного доступа к секретам и ресурсам, для Bridge to Kubernetes требуется специальная настройка, чтобы обеспечить возможность работы с этими функциями. Маркер Microsoft Entra необходимо скачать на локальный компьютер, чтобы обеспечить правильную защиту локального выполнения и отладки, и для этого требуется определенная специальная конфигурация в Bridge to Kubernetes. В этой статье показано, как настроить Bridge to Kubernetes для работы со службами, использующими управляемое удостоверение.

Настройка службы для использования управляемого удостоверения

Чтобы включить локальный компьютер с поддержкой управляемого удостоверения, в файле KubernetesLocalConfig.yaml в разделе enableFeatures добавьте ManagedIdentity. Добавьте раздел enableFeatures, если он еще не создан.

enableFeatures:
  - ManagedIdentity

Предупреждение

Не забудьте использовать только управляемое удостоверение для Bridge to Kubernetes при работе с кластерами разработки, а не рабочими кластерами, так как маркер Microsoft Entra извлекается на локальный компьютер, который представляет потенциальный риск безопасности.

Если у вас нет файла KubernetesLocalConfig.yaml, его можно создать: см. раздел Настройка Bridge to Kubernetes.

Получение маркеров Microsoft Entra

Необходимо убедиться, что вы используете Azure.Identity.DefaultAzureCredential или Azure.Identity.ManagedIdentityCredential в коде при получении маркера.

В следующем коде C# показано, как получить учетные данные учетной записи хранения при использовании ManagedIdentityCredential:

var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

В следующем коде показано, как получить учетные данные учетной записи хранения при использовании DefaultAzureCredential:

var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Сведения о том, как получить доступ к другим ресурсам Azure с помощью управляемого удостоверения, см. в разделе Дальнейшие действия.

Получение оповещений Azure при загрузка маркеров

Каждый раз, когда вы используете Bridge to Kubernetes в службе, маркер Microsoft Entra загружается на локальный компьютер. Чтобы получать уведомления, когда это происходит, вы можете включить оповещения Azure. Дополнительные сведения см. в статье Включение Azure Defender. Имейте в виду, что плата взимается по истечении 30-дневного пробного периода.

Следующие шаги

Теперь, когда Bridge to Kubernetes настроен для работы с кластером AKS, использующим управляемое удостоверение, можно выполнить отладку в нормальном режиме. См. раздел [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].

Дополнительные сведения об использовании управляемого удостоверения для доступа к ресурсам Azure см. в следующих руководствах:

В этом разделе также приводятся другие руководства по использованию управляемого удостоверения для доступа к другим ресурсам Azure.

См. также

Microsoft Entra ID

Поделиться через