gMSA no Serviço de Kubernetes do Azure
As gMSAs (contas de serviço gerenciado de grupo) podem ser usadas no AKS (Serviço de Kubernetes do Azure) para dar suporte a aplicativos que exigem o Active Directory para fins de autenticação. A configuração da gMSA no AKS exige uma definição adequada destas configurações e destes serviços: AKS, Azure Key Vault, Active Directory, especificações de credenciais etc. Para simplificar esse processo, você pode usar o módulo do PowerShell abaixo. Esse módulo foi personalizado foi feito sob medida para simplificar o processo de configuração da gMSA no AKS simplificando a complexidade de configurar diferentes serviços.
Requisitos de ambiente
Para implantar a gMSA no AKS, será preciso de:
- Um cluster do AKS com nós do Windows em funcionamento. Se você não tiver um cluster do AKS preparado, confira a documentação do Serviço de Kubernetes do Azure.
- Seu cluster deve ser autorizado para a gMSA no AKS. Para obter mais informações, confira Habilitar GMSA (Contas de Serviço Gerenciado de Grupo) em seus nós do Windows Server no cluster do AKS (Serviço de Kubernetes do Azure).
- Um ambiente do Active Directory configurado adequadamente para gMSA. Confira abaixo mais detalhes sobre como configurar seu domínio.
- Os nós do Windows no AKS devem poder se conectar aos seus controladores de domínio do Active Directory.
- Credenciais de domínio do Active Directory com autorização delegada à configuração da gMSA e um usuário padrão do domínio. Essa tarefa pode ser delegada a pessoas autorizadas (se necessário).
Instalar o módulo do PowerShell da gMSA no AKS
Para começar, baixe o módulo do PowerShell na galeria do PowerShell:
Install-Module -Name AksGMSA -Repository PSGallery -Force
Observação
O módulo do PowerShell da gMSA no AKS é atualizado constantemente. Se você executou as etapas deste tutorial antes e agora está verificando novas configurações, atualize o módulo para a última versão. Você pode encontrar mais informações sobre o módulo na página Galeria do PowerShell.
Requisitos de módulo
O módulo do PowerShell da gMSA no AKS depende de diferentes módulos e ferramentas. Para instalar esses requisitos, execute o seguinte em uma sessão elevada:
Install-ToolingRequirements
Fazer logon com suas credenciais do Azure
Você precisará ter feito logon no Azure com suas credenciais do módulo do PowerShell da gMSA no AKS para configurar corretamente seu cluster do AKS. Para fazer logon no Azure por meio do PowerShell, execute:
Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"
Você também precisa fazer logon com a CLI do Azure, pois o módulo do PowerShell também usa isso em segundo plano:
az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"
Configuração de entradas necessárias para o módulo da gMSA no AKS
Durante a configuração da gMSA no AKS, muitas entradas serão necessárias, como: nome do cluster do AKS, nome do Grupo de Recursos do Azure, região na qual implantar os ativos necessários, nome de domínio do Active Directory e muito mais. Para simplificar o processo abaixo, criamos um comando de entrada que reunirá todos os valores necessários e os armazenará em uma variável a ser usada nos comandos abaixo.
Para começar, execute o seguinte comando:
$params = Get-AksGMSAParameters
Depois de executar o comando, forneça as entradas necessárias até a conclusão do comando. Desse momento em diante, basta copiar e colar os comandos como mostrado nesta página.
Conectar-se ao cluster AKS
Ao usar o módulo do PowerShell da gMSA no AKS, você estará se conectando ao cluster do AKS que deseja configurar. O módulo do PowerShell da gMSA no AKS depende da conexão ao kubectl. Para conectar seu cluster, execute o seguinte comando (observe que, por ter fornecido as entradas acima, basta copiar e colar o comando abaixo na sessão do PowerShell):
Import-AzAksCredential -Force `
-ResourceGroupName $params["aks-cluster-rg-name"] `
-Name $params["aks-cluster-name"]