Używanie tożsamości zarządzanej z rozwiązaniem Bridge to Kubernetes
Notatka
Most do Kubernetes zostanie wycofany 30 kwietnia 2025 r. Aby uzyskać szczegółowe informacje o wycofaniu i alternatywach typu open source, zobacz problem na GitHubie .
Jeśli klaster usługi AKS używa tożsamości zarządzanej i funkcji zabezpieczeń do zabezpieczania dostępu do tajemnic i zasobów, Bridge to Kubernetes wymaga specjalnej konfiguracji, aby zapewnić, że może współpracować z tymi funkcjami. Token Firmy Microsoft Entra należy pobrać na komputer lokalny, aby upewnić się, że lokalne wykonywanie i debugowanie jest prawidłowo zabezpieczone. Wymaga to specjalnej konfiguracji w rozwiązaniu Bridge to Kubernetes. W tym artykule pokazano, jak skonfigurować rozwiązanie Bridge to Kubernetes do pracy z usługami korzystającymi z tożsamości zarządzanej.
Jak skonfigurować usługę do korzystania z tożsamości zarządzanej
Aby włączyć maszynę lokalną z obsługą tożsamości zarządzanej, w pliku KubernetesLocalConfig.yaml w sekcji enableFeatures dodaj ManagedIdentity. Dodaj sekcję enableFeatures, jeśli jeszcze jej nie ma.
enableFeatures:
- ManagedIdentity
Ostrzeżenie
Pamiętaj, aby używać tożsamości zarządzanej tylko dla rozwiązania Bridge to Kubernetes podczas pracy z klastrami deweloperskimi, a nie z klastrów produkcyjnych, ponieważ token Entra firmy Microsoft jest pobierany do komputera lokalnego, co stanowi potencjalne zagrożenie bezpieczeństwa.
Jeśli nie masz pliku KubernetesLocalConfig.yaml, możesz go utworzyć; zobacz Jak: Konfigurować Bridge to Kubernetes.
Jak pobrać tokeny usługi Microsoft Entra
Podczas pobierania tokenu należy upewnić się, że korzystasz z Azure.Identity.DefaultAzureCredential lub Azure.Identity.ManagedIdentityCredential w kodzie.
Poniższy kod w języku C# pokazuje, jak pobrać poświadczenia konta magazynu podczas korzystania z ManagedIdentityCredential:
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Poniższy kod przedstawia sposób pobierania poświadczeń konta magazynu podczas korzystania z DefaultAzureCredential.
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Aby dowiedzieć się, jak uzyskać dostęp do innych zasobów platformy Azure przy użyciu tożsamości zarządzanej, zobacz sekcję Następne kroki.
Otrzymywanie alertów platformy Azure po pobraniu tokenów
Gdykolwiek używasz narzędzia Bridge dla Kubernetes w usłudze, token Entra firmy Microsoft jest pobierany na lokalny komputer. Możesz włączyć alerty platformy Azure, aby otrzymywać powiadomienia w takim przypadku. Aby uzyskać więcej informacji, zobacz Enable Azure Defender. Pamiętaj, że jest naliczana opłata (po upływie 30-dniowego okresu próbnego).
Następne kroki
Po skonfigurowaniu rozwiązania Bridge to Kubernetes do pracy z klastrem usługi AKS używającym tożsamości zarządzanej można debugować w zwykły sposób. Zobacz [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].
Dowiedz się więcej o korzystaniu z tożsamości zarządzanej w celu uzyskania dostępu do zasobów platformy Azure, wykonując następujące samouczki:
- samouczek : uzyskiwanie dostępu do usługi Azure Storage przy użyciu przypisanej przez system tożsamości zarządzanej maszyny wirtualnej z systemem Linux
- samouczek : używanie przypisanej przez system tożsamości zarządzanej maszyny wirtualnej z systemem Linux do uzyskiwania dostępu do usługi Azure Data Lake Store
- samouczek : używanie przypisanej przez system tożsamości zarządzanej maszyny wirtualnej z systemem Linux do uzyskiwania dostępu do usługi Azure Key Vault
W tej sekcji przedstawiono również inne samouczki dotyczące używania tożsamości zarządzanej do uzyskiwania dostępu do innych zasobów platformy Azure.