comptes de service administrés de groupe sur Azure Kubernetes Service
Les comptes de service administrés de groupe (également appelés comptes gMSA) peuvent être utilisés sur Azure Kubernetes Service (AKS) pour prendre en charge les applications qui ont besoin d’Active Directory à des fins d’authentification. La configuration de comptes gMSA sur AKS nécessite d’installer et de configurer correctement les services et paramètres suivants : AKS, Azure Key Vault, Active Directory, les spécifications des informations d’identification, etc. Pour vous aider dans ce processus, vous pouvez utiliser le module PowerShell ci-dessous. Ce module a été conçu pour simplifier le processus de configuration des comptes gMSA sur AKS en vous évitant les tâches complexes de configuration des différents services.
Configuration requise pour l’environnement
Pour déployer des comptes gMSA sur AKS, vous avez besoin des éléments suivants :
- Un cluster AKS avec des nœuds Windows en cours d’exécution. Si vous n’avez pas de cluster AKS prêt, consultez la documentation d’Azure Kubernetes Service.
- Votre cluster doit être autorisé à utiliser les comptes gMSA sur AKS. Pour plus d’informations, consultez Activer les comptes de services gérés de groupe (gMSA) pour vos nœuds Windows Server sur votre cluster Azure Kubernetes Service (AKS).
- Un environnement Active Directory correctement configuré pour les comptes gMSA. Vous trouverez ci-dessous des explications détaillées sur la configuration de votre domaine.
- Vos nœuds Windows sur AKS doivent pouvoir se connecter à vos contrôleurs de domaine Active Directory.
- Les informations d’identification des domaines Active Directory avec une autorisation déléguée pour configurer le compte gMSA et un utilisateur de domaine standard. Cette tâche peut être déléguée à des personnes autorisées (au besoin).
Installer le module PowerShell gMSA sur AKS
Pour commencer, téléchargez le module PowerShell à partir de PowerShell Gallery :
Install-Module -Name AksGMSA -Repository PSGallery -Force
Notes
Le module gMSA sur AKS PowerShell est constamment mis à jour. Si vous aviez déjà exécuté les étapes de ce tutoriel avant et que vous revenez voir les nouvelles configurations, veillez à mettre à jour le module vers la dernière version. Vous trouverez plus d’informations sur le module dans la page PowerShell Gallery.
Configuration requise pour le module
Le module PowerShell gMSA sur AKS utilise différents modules et outils. Pour installer tous les éléments dont il a besoin, exécutez la commande suivante sur une session avec élévation de privilèges :
Install-ToolingRequirements
Connexion avec vos informations d’identification Azure
Vous devez être connecté à Azure avec vos informations d’identification pour que le module PowerShell gMSA sur AKS puisse correctement configurer votre cluster AKS. Pour vous connecter à Azure par le biais de PowerShell, exécutez la commande suivante :
Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"
Vous devez également vous connecter avec Azure CLI, car le module PowerShell l’utilise également en arrière-plan :
az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"
Configuration des entrées requises pour le module gMSA sur AKS
Durant le processus de configuration de gMSA sur AKS, de nombreuses entrées vous seront demandées, comme le nom de votre cluster AKS, le nom du groupe de ressources Azure, la région de déploiement des ressources nécessaires, le nom de domaine Active Directory, entre autres. Pour simplifier le processus ci-dessous, nous avons créé une commande d’entrée qui collecte toutes les valeurs demandées et les stocke dans une variable qui sera ensuite utilisée dans les commandes ci-après.
Pour commencer, exécutez la commande suivante :
$params = Get-AksGMSAParameters
Après avoir exécuté la commande, fournissez toutes les entrées demandées jusqu’à ce que la commande se termine. À partir de maintenant, vous pouvez simplement copier et coller les commandes comme indiqué dans cette page.
Se connecter à votre cluster AKS
Quand vous utilisez le module PowerShell gMSA sur AKS, vous vous connectez au cluster AKS que vous souhaitez configurer. Le module PowerShell gMSA sur AKS utilise la connexion kubectl. Pour connecter votre cluster, exécutez la commande suivante : (comme vous avez déjà fourni les entrées plus haut, il vous suffit de copier et coller la commande ci-dessous dans votre session PowerShell).
Import-AzAksCredential -Force `
-ResourceGroupName $params["aks-cluster-rg-name"] `
-Name $params["aks-cluster-name"]