Azure Kubernetes Service 기반 gMSA

gMSA(그룹 관리 서비스 계정)는 AKS(Azure Kubernetes Service)에서 인증을 위해 Active Directory가 필요한 애플리케이션을 지원하는 데 사용할 수 있습니다. AKS 기반 gMSA를 구성하려면 AKS, Azure Key Vault, Active Directory, 자격 증명 사양 등과 같은 서비스 및 설정을 올바르게 설정해야 합니다. 이 프로세스를 간소화하기 위해 아래 PowerShell 모듈을 사용할 수 있습니다. 이 모듈은 다양한 서비스를 설정하는 복잡성을 제거하여 AKS 기반 gMSA를 구성하는 프로세스를 간소화하도록 맞춰졌습니다.

환경 요구 사항

AKS 기반 gMSA를 배포하려면 다음이 필요합니다.

• Windows 노드가 시작되고 실행되는 AKS 클러스터. AKS 클러스터가 준비되지 않은 경우 Azure Kubernetes Service 설명서를 확인하세요.
  • 클러스터에는 AKS 기반 gMSA에 대한 권한이 있어야 합니다. 자세한 내용은 AKS(Azure Kubernetes Service) 클러스터의 Windows Server 노드에 대해 GMSA(그룹 관리 서비스 계정) 사용을 참조하세요.
• gMSA에 대해 올바르게 구성된 Active Directory 환경. 도메인을 구성하는 방법은 아래에서 자세히 설명합니다.
  • AKS의 Windows 노드는 Active Directory 도메인 컨트롤러에 연결할 수 있어야 합니다.
• gMSA 및 표준 도메인 사용자를 설정하는 데 위임된 권한 부여를 사용하는 Active Directory 도메인 자격 증명. 이 작업은 권한 있는 사용자에게 위임할 수 있습니다(필요한 경우).

AKS 기반 gMSA PowerShell 모듈 설치

먼저 PowerShell 갤러리에서 PowerShell 모듈을 다운로드합니다.

Install-Module -Name AksGMSA -Repository PSGallery -Force

참고

AKS PowerShell 모듈의 gMSA는 지속적으로 업데이트됩니다. 이전에 이 자습서의 단계를 실행하고 새 구성을 다시 확인하는 경우 모듈을 최신 버전으로 업데이트해야 합니다. 모듈에 대한 자세한 내용은 PowerShell 갤러리 페이지에서 확인할 수 있습니다.

모듈 요구 사항

AKS 기반 gMSA PowerShell 모듈은 다양한 모듈과 도구를 사용합니다. 이러한 요구 사항을 설치하려면 관리자 권한 세션에서 다음을 실행합니다.

Install-ToolingRequirements

Azure 자격 증명으로 로그인

AKS 클러스터를 올바르게 구성하려면 AKS 기반 gMSA PowerShell 모듈에 대한 자격 증명을 사용하여 Azure에 로그인해야 합니다. PowerShell을 통해 Azure에 로그인하려면 다음을 실행합니다.

Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"

PowerShell 모듈도 백그라운드에서 사용하므로 Azure CLI로 로그인해야 합니다.

az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"

AKS 기반 gMSA 모듈에 필요한 입력 설정

AKS 기반 gMSA를 구성하는 동안 AKS 클러스터 이름, Azure 리소스 그룹 이름, 필요한 자산을 배포할 지역, Active Directory 도메인 이름 등과 같은 많은 입력이 필요합니다. 아래 프로세스를 간소화하기 위해 필요한 모든 값을 수집하여 아래 명령에 사용할 변수에 저장하는 입력 명령을 만들었습니다.

시작하려면 다음을 실행합니다.

$params = Get-AksGMSAParameters

명령이 실행되면 명령이 완료될 때까지 필요한 입력을 제공합니다. 이제부터 이 페이지에서 설명하는 대로 명령을 복사하여 붙여넣기만 하면 됩니다.

AKS 클러스터에 연결

AKS 기반 gMSA PowerShell 모듈을 사용하는 동안 구성하려는 AKS 클러스터에 연결합니다. AKS 기반 gMSA PowerShell 모듈은 kubectl 연결을 사용합니다. 클러스터를 연결하려면 다음을 실행합니다. (위에서 입력을 제공했으므로 아래 명령을 복사하여 PowerShell 세션에 붙여넣기만 하면 됩니다.)

 Import-AzAksCredential -Force `
 -ResourceGroupName $params["aks-cluster-rg-name"] `
 -Name $params["aks-cluster-name"]

다음 단계

PowerShell 모듈을 사용하여 AKS 기반 gMSA 구성