Terapkan beban kerja Windows kontainer
Contoso mengandalkan AD DS sebagai penyedia identitasnya untuk beban kerja berbasis Windows dan Linux, dengan Kerberos sebagai protokol autentikasi utama. Tim Keamanan Informasi meminta Anda untuk menyelidiki opsi untuk mengintegrasikan beban kerja kontainer yang dihosting oleh AKS di Azure Stack HCI dengan lingkungan AD DS Contoso. Mengingat Anda berniat untuk menyebarkan node dan kontainer berbasis Windows ke dalam kluster Kube, Anda ingin menentukan sejauh mana integrasi tersebut mungkin.
Integrasikan kontainer Windows di AKS di Azure Stack HCI dengan AD DS
Mungkin ada skenario di mana aplikasi berbasis Windows kontainer yang berjalan di pod Kube mungkin memerlukan akses ke sumber daya yang dilindungi AD DS. Fungsionalitas tersebut memerlukan penggunaan identitas berbasis domain AD DS untuk berhasil menyelesaikan tugas autentikasi dan otorisasi. Untuk menerapkan identitas ini, Anda dapat menggunakan Group Managed Service Accounts (gMSA).
Dibandingkan dengan metode tradisional untuk mengelola identitas untuk layanan dan aplikasi Windows yang harus dapat mengautentikasi sendiri, gMSA menawarkan beberapa keuntungan, yang mencakup perubahan kata sandi otomatis, pengaturan dan pemeliharaan yang disederhanakan, dan dukungan untuk manajemen yang didelegasikan.
Untuk mengaktifkan pod menggunakan gMSA untuk autentikasi, bergabunglah dengan semua node pekerja Kube berbasis Windows Server yang akan meng-hosting pod ke domain AD DS. Lakukan gabungan domain dengan menyambungkan ke setiap node melalui Secure Shell (SSH), lalu jalankan utilitas baris perintah netdom.exe dengan sakelar gabungan.
Sisa prosesnya sama dengan kluster Kube yang mencakup node pekerja Windows Server, dan memiliki langkah-langkah tingkat tinggi berikut:
- Provisi gMSA dalam AD DS dan menetapkannya ke node Windows Server.
- Mendefinisikan jenis sumber daya Kube kustom yang mewakili AD DS gMSA (GMSACredentialSpec).
- Mengonfigurasi mekanisme berbasis webhook yang secara otomatis mengisi dan memvalidasi referensi GMSACredentialSpec untuk pod dan kontainer.
- Membuat sumber daya kustom berdasarkan jenis sumber daya GMSACredentialSpec.
- Mendefinisikan peran kluster untuk mengaktifkan RBAC untuk sumber daya GMSACredentialSpec.
- Menetapkan peran ke AD DS gMSA untuk mengotorisasi penggunaan sumber daya GMSACredentialSpec yang sesuai.
- Menyertakan referensi ke sumber daya GMSACredentialSpec dalam definisi pod yang akan menggunakannya untuk autentikasi AD DS.
Catatan
Untuk mengaktifkan dukungan gMSA, nama kluster Kube tidak boleh melebihi tiga karakter. Batasan ini dihasilkan dari batas 15 karakter pada nama komputer domain gabungan.