Gunakan identitas terkelola dengan Bridge to Kubernetes
Jika kluster AKS Anda menggunakan fitur keamanan identitas terkelola untuk mengamankan akses ke rahasia dan sumber daya, Bridge to Kubernetes memerlukan beberapa konfigurasi khusus untuk memastikannya dapat berfungsi dengan fitur-fitur ini. Token Microsoft Entra perlu diunduh ke komputer lokal untuk memastikan bahwa eksekusi dan penelusuran kesalahan lokal diamankan dengan benar, dan ini memerlukan beberapa konfigurasi khusus di Bridge ke Kubernetes. Artikel ini menunjukkan cara mengonfigurasi Bridge to Kubernetes untuk bekerja dengan layanan yang menggunakan identitas terkelola.
Cara mengonfigurasi layanan Anda untuk menggunakan identitas terkelola
Untuk mengaktifkan komputer lokal dengan dukungan untuk identitas terkelola, di dalam file KubernetesLocalConfig.yaml, di bagian enableFeatures
, tambahkan ManagedIdentity
. Tambahkan bagian enableFeatures
jika belum ada.
enableFeatures:
- ManagedIdentity
Peringatan
Pastikan untuk hanya menggunakan identitas terkelola untuk Bridge ke Kubernetes saat bekerja dengan kluster dev, bukan kluster produksi, karena token Microsoft Entra diambil ke komputer lokal, yang menghadirkan potensi risiko keamanan.
Apabila belum memiliki file KubernetesLocalConfig.yaml, Anda dapat membuatnya; lihat Cara: Mengonfigurasi Bridge to Kubernetes.
Cara mengambil token Microsoft Entra
Anda harus memastikan bahwa Anda mengandalkan salah satu dari Azure.Identity.DefaultAzureCredential
atau Azure.Identity.ManagedIdentityCredential
dalam kode saat mengambil token.
Kode C# berikut ini menunjukkan cara mengambil kredensial akun penyimpanan saat menggunakan ManagedIdentityCredential
:
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Kode berikut menunjukkan cara mengambil kredensial akun penyimpanan saat Anda menggunakan DefaultAzureCredential:
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Untuk mempelajari cara mengakses sumber daya Azure lainnya menggunakan identitas terkelola, lihat bagian Langkah berikutnya.
Menerima pemberitahuan Azure saat token diunduh
Setiap kali Anda menggunakan Bridge to Kubernetes pada layanan, token Microsoft Entra diunduh ke komputer lokal. Anda dapat mengaktifkan pemberitahuan Azure untuk diberi tahu ketika hal ini terjadi. Untuk informasi selengkapnya, lihat Mengaktifkan Azure Defender. Harap diperhatikan bahwa Anda akan dikenai biaya (setelah periode uji coba 30 hari).
Langkah berikutnya
Setelah mengonfigurasi Bridge to Kubernetes untuk bekerja dengan kluster AKS yang menggunakan identitas terkelola, Anda dapat melakukan debug seperti biasa. Lihat [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].
Pelajari selengkapnya mengenai penggunaan identifikasi terkelola untuk mengakses sumber daya Azure dengan mengikuti tutorial berikut:
- Tutorial: Menggunakan identitas terkelola yang ditetapkan sistem VM Linux untuk mengakses Azure Storage
- Tutorial: Menggunakan identitas terkelola yang ditetapkan sistem VM Linux untuk mengakses Azure Data Lake Store
- Tutorial: Menggunakan identitas terkelola yang ditetapkan sistem komputer virtual Linux untuk mengakses Azure Key Vault
Ada tutorial lain di bagian tersebut untuk menggunakan identitas terkelola guna mengakses sumber daya Azure lainnya.