Använda hanterad identitet med Bridge till Kubernetes
Anteckning
Bron till Kubernetes dras tillbaka den 30 april 2025. Mer information om alternativen för tillbakadragning och öppen källkod finns i GitHub-problem.
Om ditt AKS-kluster använder hanterad identitet säkerhetsfunktioner för att skydda åtkomsten till hemligheter och resurser, behöver Bridge to Kubernetes en särskild konfiguration för att säkerställa att den kan fungera med dessa funktioner. En Microsoft Entra-token måste laddas ned till den lokala datorn för att säkerställa att lokal körning och felsökning är korrekt skyddad, och detta kräver viss särskild konfiguration i Bridge to Kubernetes. Den här artikeln visar hur du konfigurerar Bridge to Kubernetes så att de fungerar med tjänster som använder hanterad identitet.
Så här konfigurerar du tjänsten för att använda hanterad identitet
Om du vill aktivera en lokal dator med stöd för hanterad identitet går du till filen KubernetesLocalConfig.yaml i avsnittet enableFeatures och lägger till ManagedIdentity. Lägg till avsnittet enableFeatures om det inte redan finns där.
enableFeatures:
- ManagedIdentity
Varning
Se till att endast använda hanterad identitet för Bridge till Kubernetes när du arbetar med dev-kluster, inte produktionskluster, eftersom Microsoft Entra-token hämtas till den lokala datorn, vilket utgör en potentiell säkerhetsrisk.
Om du inte har en KubernetesLocalConfig.yaml- fil kan du skapa en. se Så här konfigurerar du Bridge till Kubernetes.
Hämta Microsoft Entra-token
Du måste se till att du förlitar dig på antingen Azure.Identity.DefaultAzureCredential eller Azure.Identity.ManagedIdentityCredential i kod när du hämtar token.
Följande C#-kod visar hur du hämtar autentiseringsuppgifter för lagringskontot när du använder ManagedIdentityCredential:
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Följande kod visar hur du hämtar autentiseringsuppgifter för lagringskontot när du använder DefaultAzureCredential:
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Mer information om hur du kommer åt andra Azure-resurser med hjälp av hanterad identitet finns i avsnittet Nästa steg.
Ta emot Azure-aviseringar när token laddas ned
När du använder Bridge to Kubernetes på en tjänst laddas Microsoft Entra-token ned till den lokala datorn. Du kan göra så att Azure-aviseringar meddelas när detta inträffar. Mer information finns i Aktivera Azure Defender. Observera att det tillkommer en avgift (efter en 30-dagars utvärderingsperiod).
Nästa steg
Nu när du har konfigurerat Bridge to Kubernetes att fungera med ditt AKS-kluster som använder hanterad identitet kan du felsöka som vanligt. Se även [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].
Läs mer om hur du använder hanterad identifiering för att få åtkomst till Azure-resurser genom att följa dessa självstudier:
- Självstudie: Använd en systemtilldelad hanterad identitet från en Linux-VM för att komma åt Azure Storage
- Självstudie: Använda en systemtilldelad hanterad identitet för virtuella Linux-datorer för att få åtkomst till Azure Data Lake Store-
- Handledning: Använd en systemtilldelad hanterad identitet för en Linux-VM för att få åtkomst till Azure Key Vault
Det finns andra självstudier i det avsnittet för att använda hanterad identitet samt få åtkomst till andra Azure-resurser.