Azure Kubernetes Service (AKS) でグループ管理サービス アカウント (gMSA) を使用して、認証のために Active Directory を必要とするアプリケーションをサポートできます。 AKS での gMSA の構成では、AKS、Azure Key Vault、Active Directory、資格情報の仕様などのサービスと設定を適切に設定する必要があります。このプロセスを効率化するために、以下の PowerShell モジュールを使用できます。 このモジュールは、異なるサービスの設定の複雑さを解消することで、AKS で gMSA を構成するプロセスを簡略化するためにカスタマイズされています。
環境の要件
AKS に gMSA をデプロイするには、次のものが必要です。
- Windows ノードが稼働している AKS クラスター。 AKS クラスターの準備ができていない場合は、Azure Kubernetes Service のドキュメント確認してください。
- クラスターは、AKS 上の gMSA に対して承認されている必要があります。 詳細については、「Azure Kubernetes Service (AKS) クラスター上の Windows Server ノードのグループ管理サービス アカウント (GMSA) を有効にする」を参照してください。
- gMSA 用に適切に構成された Active Directory 環境。 ドメインを構成する方法の詳細については、以下を参照してください。
- AKS 上の Windows ノードは、Active Directory ドメイン コントローラーに接続できる必要があります。
- gMSA と標準ドメイン ユーザーをセットアップするための委任された承認を持つ Active Directory ドメイン資格情報。 このタスクは、(必要に応じて) 承認されたユーザーに委任できます。
AKS PowerShell モジュールに gMSA をインストールする
開始するには、PowerShell ギャラリーから PowerShell モジュールをダウンロードします。
Install-Module -Name AksGMSA -Repository PSGallery -Force
手記
AKS PowerShell モジュールの gMSA は常に更新されます。 前にこのチュートリアルの手順を実行し、新しい構成を確認する場合は、モジュールを最新バージョンに更新してください。 モジュールの詳細については、PowerShell ギャラリーのページを参照してください。
モジュールの要件
AKS PowerShell モジュールの gMSA は、さまざまなモジュールとツールに依存しています。 これらの要件をインストールするには、管理者特権セッションで次を実行します。
Install-ToolingRequirements
Azure 資格情報を使用してログインする
AKS クラスターを適切に構成するには、AKS PowerShell モジュールの gMSA の資格情報を使用して Azure にログインする必要があります。 PowerShell を使用して Azure にログインするには、次のコマンドを実行します。
Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"
PowerShell モジュールではバックグラウンドで使用されるため、Azure CLI でログインする必要もあります。
az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"
AKS モジュールでの gMSA に必要な入力の設定
AKS での gMSA の構成全体を通じて、AKS クラスター名、Azure リソース グループ名、必要な資産をデプロイするためのリージョン、Active Directory ドメイン名など、多くの入力が必要になります。 以下のプロセスを効率化するために、必要なすべての値を収集して変数に格納する入力コマンドを作成し、次のコマンドで使用します。
開始するには、次のコマンドを実行します。
$params = Get-AksGMSAParameters
コマンドを実行した後、コマンドが完了するまで必要な入力を指定します。 今後は、このページに示すようにコマンドをコピーして貼り付けることができます。
AKS クラスターに接続する
AKS PowerShell モジュールで gMSA を使用しているときに、構成する AKS クラスターに接続します。 AKs PowerShell モジュールの gMSA は、kubectl 接続に依存します。 クラスターを接続するには、次のコマンドを実行します (上記の入力を指定したため、次のコマンドをコピーして PowerShell セッションに貼り付けることができます)。
Import-AzAksCredential -Force `
-ResourceGroupName $params["aks-cluster-rg-name"] `
-Name $params["aks-cluster-name"]