Implementieren containerisierter Windows-Workloads

  • 6 Minuten

Contoso verwendet AD DS als Identitätsanbieter für Windows- und Linux-basierte Workloads, wobei Kerberos das primäre Authentifizierungsprotokoll ist. Das Informationssicherheitsteam hat Sie gebeten, die Optionen für die Integration von Containerworkloads zu untersuchen, die von AKS in Azure Stack HCI in der AD DS-Umgebung von Contoso gehostet werden. Da Sie beabsichtigen, Windows-basierte Knoten und Container in Kubernetes-Clustern bereitzustellen, möchten Sie bestimmen, in welchem Umfang eine solche Integration möglich ist.

Integrieren von Windows-Containern in AKS in Azure Stack HCI mit AD DS

In manchen Szenarien könnten containerisierte Windows-basierte Anwendungen, die in Kubernetes-Pods ausgeführt werden, möglicherweise Zugriff auf AD DS-geschützte Ressourcen benötigen. Diese Funktionalität erfordert die Verwendung einer AD DS-domänenbasierten Identität, um Authentifizierungs- und Autorisierungsaufgaben erfolgreich abzuschließen. Zum Implementieren dieser Identität können Sie gruppenverwaltete Dienstkonten (Group Managed Service Accounts, gMSA) verwenden.

Im Vergleich zur herkömmlichen Methode zum Verwalten von Identitäten für Windows-Dienste und -Anwendungen, die sich selbst authentifizieren müssen, bietet gMSA mehrere Vorteile, darunter automatische Kennwortänderungen, vereinfachte Einrichtung und Wartung sowie Unterstützung für die delegierte Verwaltung.

Damit Pods gMSA für die Authentifizierung verwenden können, binden Sie alle Windows Server-basierten Kubernetes-Workerknoten, die die Pods hosten werden, in eine AD DS-Domäne ein. Führen Sie den Domänenbeitritt aus, indem Sie über Secure Shell (SSH) eine Verbindung mit jedem Knoten herstellen und dann das Befehlszeilen-Hilfsprogramm „netdom.exe“ mit dem Join-Schalter ausführen.

Der Rest des Prozesses verläuft so wie in jedem Kubernetes-Cluster, der Windows Server-Workerknoten enthält, und umfasst die folgenden Schritte auf allgemeiner Ebene:

  1. Bereitstellen eines gMSA in AD DS und dessen Zuweisung zu den Windows Server-Knoten.
  2. Definieren eines benutzerdefinierten Kubernetes-Ressourcentyps, der das AD DS-gMSA (GMSACredentialSpec) darstellt.
  3. Konfigurieren eines webhookbasierten Mechanismus, der GMSACredentialSpec-Verweise für Pods und Container automatisch auffüllt und überprüft.
  4. Erstellen einer benutzerdefinierten Ressource basierend auf dem GMSACredentialSpec-Ressourcentyp.
  5. Definieren einer Clusterrolle zum Aktivieren der RBAC für die GMSACredentialSpec-Ressource.
  6. Zuweisen der Rolle zum AD DS-gMSA, um dessen Verwendung der entsprechenden GMSACredentialSpec-Ressource zu autorisieren.
  7. Einbeziehen eines Verweises auf die GMSACredentialSpec-Ressource in der Definition von Pods, die sie für die AD DS-Authentifizierung verwenden.

Hinweis

Um die gMSA-Unterstützung zu aktivieren, darf der Name des Kubernetes-Clusters drei Zeichen nicht überschreiten. Diese Einschränkung ergibt sich aus dem 15-Zeichen-Limit für den Namen eines in die Domäne eingebundenen Computers.

Wissensbeurteilung

1.

Das Informationssicherheitsteam von Contoso fordert Sie auf, die Optionen für die Implementierung der AD DS-basierten Authentifizierung von Windows-basierten Containerworkloads zu untersuchen, die von AKS in Azure Stack HCI gehostet werden. Zunächst stellen Sie einen Kubernetes-Cluster mit Windows Server-Knoten in Ihrem Azure Stack HCI-Cluster bereit. Wie sollten Sie vorgehen?