gMSA på Azure Kubernetes Service
Grupphanterade tjänstkonton (gMSA) kan användas i Azure Kubernetes Service (AKS) för att stödja program som kräver Active Directory i autentiseringssyfte. Konfigurationen av gMSA på AKS kräver att du konfigurerar följande tjänster och inställningar korrekt: AKS, Azure Key Vault, Active Directory, autentiseringsspecifikationer osv. För att effektivisera den här processen kan du använda PowerShell-modulen nedan. Den här modulen har skräddarsytts för att förenkla processen med att konfigurera gMSA på AKS genom att ta bort komplexiteten i att konfigurera olika tjänster.
Miljökrav
För att kunna distribuera gMSA på AKS behöver du följande:
- Ett AKS-kluster med Windows-noder igång. Om du inte har ett AKS-kluster redo kan du checka ut dokumentationen Azure Kubernetes Service.
- Klustret måste vara auktoriserat för gMSA på AKS. Mer information finns i Aktivera grupphanterade tjänstkonton (GMSA) för dina Windows Server-noder i aks-klustret (Azure Kubernetes Service).
- En Active Directory-miljö som är korrekt konfigurerad för gMSA. Information om hur du konfigurerar din domän finns nedan.
- Dina Windows-noder på AKS måste kunna ansluta till dina Active Directory-domänkontrollanter.
- Active Directory-domänautentiseringsuppgifter med delegerad auktorisering för att konfigurera gMSA och en standarddomänanvändare. Den här uppgiften kan delegeras till behöriga personer (om det behövs).
Installera gMSA på AKS PowerShell-modulen
Kom igång genom att ladda ned PowerShell-modulen från PowerShell-galleriet:
Install-Module -Name AksGMSA -Repository PSGallery -Force
Not
GMSA på AKS PowerShell-modulen uppdateras ständigt. Om du har kört stegen i den här handledningen tidigare och nu kontrollerar nya konfigurationer, se till att uppdatera modulen till den senaste versionen. Mer information om modulen finns på sidan PowerShell-galleri.
Modulkrav
GMSA på AKS PowerShell-modulen förlitar sig på olika moduler och verktyg. För att installera dessa krav kör du följande på en förhöjd session:
Install-ToolingRequirements
Logga in med dina Azure-autentiseringsuppgifter
Du måste vara inloggad i Azure med dina autentiseringsuppgifter för gMSA på AKS PowerShell-modulen för att konfigurera AKS-klustret korrekt. Om du vill logga in på Azure via PowerShell kör du följande:
Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"
Du måste också logga in med Azure CLI, eftersom PowerShell-modulen också använder den i bakgrunden:
az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"
Konfigurera nödvändiga indata för gMSA i AKS-modulen
Under konfigurationen av gMSA på AKS behövs många indata, till exempel: Ditt AKS-klusternamn, Azure Resource Group-namn, region för att distribuera nödvändiga tillgångar, Active Directory-domännamn och mycket mer. För att effektivisera processen nedan skapade vi ett indatakommando som samlar in alla nödvändiga värden och lagrar det på en variabel som sedan ska användas på kommandona nedan.
Starta genom att köra följande:
$params = Get-AksGMSAParameters
När du har kört kommandot anger du nödvändiga indata tills kommandot har slutförts. Från och med nu kan du bara kopiera och klistra in kommandona som visas på den här sidan.
Ansluta till ditt AKS-kluster
När du använder gMSA i AKS PowerShell-modulen ansluter du till det AKS-kluster som du vill konfigurera. PowerShell-modulen gMSA på AKs förlitar sig på kubectl-anslutningen. Om du vill ansluta klustret kör du följande: (Observera att eftersom du angav indata ovan kan du helt enkelt kopiera och klistra in kommandot nedan i PowerShell-sessionen).
Import-AzAksCredential -Force `
-ResourceGroupName $params["aks-cluster-rg-name"] `
-Name $params["aks-cluster-name"]