Udostępnij za pośrednictwem

Używanie tożsamości zarządzanej z rozwiązaniem Bridge to Kubernetes

  • Artykuł

Uwaga

Firma Microsoft planuje już nie obsługiwać projektu Bridge to Kubernetes. W ciągu najbliższych kilku miesięcy przeniesiemy projekt do stanu archiwalnego. W międzyczasie projekt jest nadal dostępny do użycia i pobrania. W tym okresie mamy nadzieję zapoznać się z projektami społeczności, które zapewniają podobne korzyści, jak bridge to Kubernetes w przyszłości. Jeśli masz pytania, skontaktuj się z nami na tablicy problemów w witrynie GitHub.

Jeśli klaster usługi AKS używa funkcji zabezpieczeń tożsamości zarządzanej w celu zabezpieczenia dostępu do wpisów tajnych i zasobów, rozwiązanie Bridge to Kubernetes wymaga specjalnej konfiguracji, aby zapewnić możliwość pracy z tymi funkcjami. Token Firmy Microsoft Entra należy pobrać na komputer lokalny, aby upewnić się, że lokalne wykonywanie i debugowanie jest prawidłowo zabezpieczone. Wymaga to specjalnej konfiguracji w rozwiązaniu Bridge to Kubernetes. W tym artykule pokazano, jak skonfigurować rozwiązanie Bridge to Kubernetes do pracy z usługami korzystającymi z tożsamości zarządzanej.

Jak skonfigurować usługę do korzystania z tożsamości zarządzanej

Aby włączyć maszynę lokalną z obsługą tożsamości zarządzanej, w pliku KubernetesLocalConfig.yaml w enableFeatures sekcji dodaj polecenie ManagedIdentity. Dodaj sekcję enableFeatures , jeśli jeszcze jej nie ma.

enableFeatures:
  - ManagedIdentity

Ostrzeżenie

Pamiętaj, aby używać tożsamości zarządzanej tylko dla rozwiązania Bridge to Kubernetes podczas pracy z klastrami deweloperskimi, a nie z klastrów produkcyjnych, ponieważ token Entra firmy Microsoft jest pobierany do komputera lokalnego, co stanowi potencjalne zagrożenie bezpieczeństwa.

Jeśli nie masz pliku KubernetesLocalConfig.yaml , możesz go utworzyć. Zobacz Jak skonfigurować mostek na platformie Kubernetes.

Jak pobrać tokeny usługi Microsoft Entra

Podczas pobierania tokenu należy upewnić się, że korzystasz z Azure.Identity.DefaultAzureCredential kodu lub Azure.Identity.ManagedIdentityCredential w kodzie.

Poniższy kod w języku C# przedstawia sposób pobierania poświadczeń konta magazynu w przypadku użycia polecenia ManagedIdentityCredential:

var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Poniższy kod przedstawia sposób pobierania poświadczeń konta magazynu podczas korzystania z opcji DefaultAzureCredential:

var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Aby dowiedzieć się, jak uzyskać dostęp do innych zasobów platformy Azure przy użyciu tożsamości zarządzanej, zobacz sekcję Następne kroki .

Otrzymywanie alertów platformy Azure po pobraniu tokenów

Za każdym razem, gdy używasz narzędzia Bridge do platformy Kubernetes w usłudze, token Entra firmy Microsoft jest pobierany na komputer lokalny. Możesz włączyć alerty platformy Azure, aby otrzymywać powiadomienia w takim przypadku. Aby uzyskać informacje, zobacz Włączanie usługi Azure Defender. Pamiętaj, że jest naliczana opłata (po upływie 30-dniowego okresu próbnego).

Następne kroki

Po skonfigurowaniu rozwiązania Bridge to Kubernetes do pracy z klastrem usługi AKS używającym tożsamości zarządzanej można debugować w zwykły sposób. Zobacz [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].

Dowiedz się więcej o korzystaniu z tożsamości zarządzanej w celu uzyskania dostępu do zasobów platformy Azure, wykonując następujące samouczki:

W tej sekcji przedstawiono również inne samouczki dotyczące używania tożsamości zarządzanej do uzyskiwania dostępu do innych zasobów platformy Azure.

Zobacz też

Tożsamość Microsoft Entra