Sebelumnya

Berikutnya

Terapkan beban kerja Windows kontainer

Selesai

Contoso mengandalkan AD DS sebagai penyedia identitasnya untuk beban kerja berbasis Windows dan Linux, dengan Kerberos sebagai protokol autentikasi utama. Tim Keamanan Informasi meminta Anda untuk menyelidiki opsi untuk mengintegrasikan beban kerja kontainer yang dihosting oleh AKS di Azure Stack HCI dengan lingkungan AD DS Contoso. Mengingat Anda berniat untuk menyebarkan node dan kontainer berbasis Windows ke dalam kluster Kube, Anda ingin menentukan sejauh mana integrasi tersebut mungkin.

Integrasikan kontainer Windows di AKS di Azure Stack HCI dengan AD DS

Mungkin ada skenario di mana aplikasi berbasis Windows kontainer yang berjalan di pod Kube mungkin memerlukan akses ke sumber daya yang dilindungi AD DS. Fungsionalitas tersebut memerlukan penggunaan identitas berbasis domain AD DS untuk berhasil menyelesaikan tugas autentikasi dan otorisasi. Untuk menerapkan identitas ini, Anda dapat menggunakan Group Managed Service Accounts (gMSA).

Dibandingkan dengan metode tradisional untuk mengelola identitas untuk layanan dan aplikasi Windows yang harus dapat mengautentikasi sendiri, gMSA menawarkan beberapa keuntungan, yang mencakup perubahan kata sandi otomatis, pengaturan dan pemeliharaan yang disederhanakan, dan dukungan untuk manajemen yang didelegasikan.

Untuk mengaktifkan pod menggunakan gMSA untuk autentikasi, bergabunglah dengan semua node pekerja Kube berbasis Windows Server yang akan meng-hosting pod ke domain AD DS. Lakukan gabungan domain dengan menyambungkan ke setiap node melalui Secure Shell (SSH), lalu jalankan utilitas baris perintah netdom.exe dengan sakelar gabungan.

Sisa prosesnya sama dengan kluster Kube yang mencakup node pekerja Windows Server, dan memiliki langkah-langkah tingkat tinggi berikut:

1. Provisi gMSA dalam AD DS dan menetapkannya ke node Windows Server.
2. Mendefinisikan jenis sumber daya Kube kustom yang mewakili AD DS gMSA (GMSACredentialSpec).
3. Mengonfigurasi mekanisme berbasis webhook yang secara otomatis mengisi dan memvalidasi referensi GMSACredentialSpec untuk pod dan kontainer.
4. Membuat sumber daya kustom berdasarkan jenis sumber daya GMSACredentialSpec.
5. Mendefinisikan peran kluster untuk mengaktifkan RBAC untuk sumber daya GMSACredentialSpec.
6. Menetapkan peran ke AD DS gMSA untuk mengotorisasi penggunaan sumber daya GMSACredentialSpec yang sesuai.
7. Menyertakan referensi ke sumber daya GMSACredentialSpec dalam definisi pod yang akan menggunakannya untuk autentikasi AD DS.

Catatan

Untuk mengaktifkan dukungan gMSA, nama kluster Kube tidak boleh melebihi tiga karakter. Batasan ini dihasilkan dari batas 15 karakter pada nama komputer domain gabungan.

Uji pengetahuan

1.

Tim Keamanan Informasi Contoso meminta Anda untuk menyelidiki opsi untuk menerapkan autentikasi berbasis AD DS pada beban kerja kontainer berbasis Windows yang di-hosting oleh AKS di Azure Stack HCI. Anda mulai dengan menyebarkan kluster Kube yang berisi node Windows Server ke dalam kluster Azure Stack HCI Anda. Apa yang harus Anda lakukan selanjutnya?

Daftarkan kluster Azure Stack HCI dengan Azure.

Aktifkan CredSSP di kluster Azure Stack HCI.

Bergabunglah dengan node Windows Server kluster Kube ke domain AD DS.

Anda harus menjawab semua pertanyaan sebelum memeriksa pekerjaan Anda.

Lanjutkan