Gunakan identitas terkelola dengan Bridge to Kubernetes

Jika kluster AKS Anda menggunakan fitur keamanan identitas terkelola untuk mengamankan akses ke rahasia dan sumber daya, Bridge to Kubernetes memerlukan beberapa konfigurasi khusus untuk memastikannya dapat berfungsi dengan fitur-fitur ini. Token Microsoft Entra perlu diunduh ke komputer lokal untuk memastikan bahwa eksekusi dan penelusuran kesalahan lokal diamankan dengan benar, dan ini memerlukan beberapa konfigurasi khusus di Bridge ke Kubernetes. Artikel ini menunjukkan cara mengonfigurasi Bridge to Kubernetes untuk bekerja dengan layanan yang menggunakan identitas terkelola.

Cara mengonfigurasi layanan Anda untuk menggunakan identitas terkelola

Untuk mengaktifkan komputer lokal dengan dukungan untuk identitas terkelola, di dalam file KubernetesLocalConfig.yaml, di bagian enableFeatures, tambahkan ManagedIdentity. Tambahkan bagian enableFeatures jika belum ada.

enableFeatures:
  - ManagedIdentity

Peringatan

Pastikan untuk hanya menggunakan identitas terkelola untuk Bridge ke Kubernetes saat bekerja dengan kluster dev, bukan kluster produksi, karena token Microsoft Entra diambil ke komputer lokal, yang menghadirkan potensi risiko keamanan.

Apabila belum memiliki file KubernetesLocalConfig.yaml, Anda dapat membuatnya; lihat Cara: Mengonfigurasi Bridge to Kubernetes.

Cara mengambil token Microsoft Entra

Anda harus memastikan bahwa Anda mengandalkan salah satu dari Azure.Identity.DefaultAzureCredential atau Azure.Identity.ManagedIdentityCredential dalam kode saat mengambil token.

Kode C# berikut ini menunjukkan cara mengambil kredensial akun penyimpanan saat menggunakan ManagedIdentityCredential:

var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Kode berikut menunjukkan cara mengambil kredensial akun penyimpanan saat Anda menggunakan DefaultAzureCredential:

var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Untuk mempelajari cara mengakses sumber daya Azure lainnya menggunakan identitas terkelola, lihat bagian Langkah berikutnya.

Menerima pemberitahuan Azure saat token diunduh

Setiap kali Anda menggunakan Bridge to Kubernetes pada layanan, token Microsoft Entra diunduh ke komputer lokal. Anda dapat mengaktifkan pemberitahuan Azure untuk diberi tahu ketika hal ini terjadi. Untuk informasi selengkapnya, lihat Mengaktifkan Azure Defender. Harap diperhatikan bahwa Anda akan dikenai biaya (setelah periode uji coba 30 hari).

Langkah berikutnya

Setelah mengonfigurasi Bridge to Kubernetes untuk bekerja dengan kluster AKS yang menggunakan identitas terkelola, Anda dapat melakukan debug seperti biasa. Lihat [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].

Pelajari selengkapnya mengenai penggunaan identifikasi terkelola untuk mengakses sumber daya Azure dengan mengikuti tutorial berikut:

• Tutorial: Menggunakan identitas terkelola yang ditetapkan sistem VM Linux untuk mengakses Azure Storage
• Tutorial: Menggunakan identitas terkelola yang ditetapkan sistem VM Linux untuk mengakses Azure Data Lake Store
• Tutorial: Menggunakan identitas terkelola yang ditetapkan sistem komputer virtual Linux untuk mengakses Azure Key Vault

Ada tutorial lain di bagian tersebut untuk menggunakan identitas terkelola guna mengakses sumber daya Azure lainnya.

Baca juga

Microsoft Entra ID