Uso de la identidad administrada con Bridge to Kubernetes
Si el clúster de AKS usa características de seguridad de identidad administrada para proteger el acceso a secretos y recursos, Bridge to Kubernetes necesita una configuración especial para asegurarse de que puede funcionar con estas características. Es necesario descargar un token de Azure Active Directory (AD) en el equipo local para asegurarse de que la ejecución y depuración locales están correctamente protegidas, lo que requiere una configuración especial en Bridge to Kubernetes. En este artículo se muestra cómo configurar Bridge to Kubernetes para que funcione con servicios que usan identidad administrada.
Configuración del servicio para usar la identidad administrada
Para habilitar una máquina local compatible con la identidad administrada, en el archivo KubernetesLocalConfig.yaml, en la sección enableFeatures, agregue ManagedIdentity. Agregue la sección enableFeatures si aún no está ahí.
enableFeatures:
- ManagedIdentity
Advertencia
Asegúrese de usar solo la identidad administrada para Bridge to Kubernetes al trabajar con clústeres de desarrollo, no con clústeres de producción, porque el token de Azure AD se captura en la máquina local, lo que presenta un riesgo de seguridad potencial.
Si no tiene un archivo KubernetesLocalConfig.yaml, puede crear uno; vea Configuración de Bridge to Kubernetes.
Captura de los tokens de Azure Active Directory
Debe asegurarse de que se basa en Azure.Identity.DefaultAzureCredential o Azure.Identity.ManagedIdentityCredential en el código cuando captura el token.
El siguiente código de C# muestra cómo capturar las credenciales de la cuenta de almacenamiento cuando se usa ManagedIdentityCredential:
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
El siguiente código muestra cómo capturar las credenciales de la cuenta de almacenamiento cuando se usa DefaultAzureCredential:
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Para obtener información sobre cómo acceder a otros recursos de Azure mediante la identidad administrada, consulte la sección Pasos siguientes.
Recepción de alertas de Azure cuando se descargan tokens
Cada vez que usa Bridge to Kubernetes en un servicio, el token de Azure AD se descarga en el equipo local. Puede habilitar alertas de Azure para recibir notificaciones cuando esto ocurra. Para más información, consulte Habilitación de Azure Defender. Tenga en cuenta que hay un cargo (después de un período de prueba de 30 días).
Pasos siguientes
Ahora que ha configurado Bridge to Kubernetes para que funcione con el clúster de AKS que usa la identidad administrada, puede depurar de la forma habitual. Consulte [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].
Para más información sobre el uso de la identidad administrada para acceder a los recursos de Azure, consulte estos tutoriales:
- Tutorial: Uso de identidades administradas asignadas por el sistema de una máquina virtual Linux para acceder a Azure Storage
- Tutorial: Uso de identidades administradas asignadas por el sistema de una máquina virtual Linux para acceder a Azure Data Lake Store
- Tutorial: Uso de identidades administradas asignadas por el sistema de una máquina virtual Linux para acceder a Azure Key Vault
También hay otros tutoriales en esa sección para usar la identidad administrada para acceder a otros recursos de Azure.
Consulte también
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de