gMSA в Службе Kubernetes Azure
Управляемые группой учетные записи служб (gMSA) можно использовать в Службе Kubernetes Azure (AKS) для поддержки приложений, требующих наличия Active Directory для аутентификации. Для настройки gMSA в AKS необходимо настроить следующие службы и параметры: AKS, Azure Key Vault, Active Directory, спецификация учетных данных и т. д. Чтобы упростить этот процесс, вы можете использовать модуль PowerShell ниже. Этот модуль специально предназначен для упрощения настройки gMSA в AKS и устраняет сложности, связанные с настройкой разных служб.
Требования к среде
Чтобы развернуть gMSA в AKS, вам требуется следующее:
- Кластер AKS с запущенными узлами Windows. Если у вас не готов кластер AKS, изучите документацию по Службе Kubernetes Azure.
- Ваш кластер должен быть авторизован для gMSA в AKS. Дополнительные сведения см. в статье Включение групповых управляемых учетных записей (GMSA) для узлов Windows Server в кластере Службы Azure Kubernetes (AKS).
- Среда Active Directory с настройкой для gMSA. Сведения о настройке домена приведены ниже.
- Узлы Windows в AKS должны иметь возможность подключиться к контроллерам доменов Active Directory.
- Учетные данные доменов Active Directory с делегированной авторизацией для настройки gMSA и стандартного пользователя домена. Эту задачу можно делегировать авторизованным сотрудникам (при необходимости).
Установка модуля PowerShell для gMSA в AKS
Чтобы начать, скачайте модуль PowerShell из коллекции PowerShell:
Install-Module -Name AksGMSA -Repository PSGallery -Force
Примечание
Модуль PowerShell для gMSA в AKS постоянно обновляется. Если ранее вы выполняли действия, описанные в этом руководстве, и теперь проверяете новые конфигурации, убедитесь, что модуль обновлен до последней версии. Дополнительные сведения о модуле можно найти на странице коллекции PowerShell.
Требования модуля
Модуль PowerShell для gMSA в AKS использует разные модули и инструменты. Чтобы установить такие необходимые компоненты, выполните следующее в сеансе с повышенными правами:
Install-ToolingRequirements
Вход с помощью учетных данных Azure
Вам потребуется войти в Azure с учетными данными модуля PowerShell для gMSA в AKS, чтобы настроить кластер AKS. Чтобы войти в Azure с помощью PowerShell, выполните следующее:
Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"
Кроме того, нужно выполнить вход с применением Azure CLI, так как модуль PowerShell также использует его в фоновом режиме:
az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"
Настройка необходимых входных данных для модуля gMSA в AKS
В ходе настройки gMSA в AKS требуется множество входных данных, например имя кластера AKS, имя группы ресурсов Azure, регион для развертывания необходимых ресурсов, имя домена Active Directory и т. д. Чтобы упростить процесс ниже, мы создали входную команду, которая собирает все необходимые значения и сохраняет их в переменной для использования в приведенных ниже командах.
Чтобы начать, выполните следующее:
$params = Get-AksGMSAParameters
После выполнения команды предоставьте необходимые входные данные для ее завершения. Теперь вы можете просто скопировать и вставить команды, как показано на этой странице.
Подключение к кластеру AKS
При использовании модуля PowerShell для gMSA в AKS вы подключитесь к кластеру AKS для настройки. Модуль PowerShell для gMSA в AKS использует подключение kubectl. Чтобы подключиться к кластеру, выполните следующее: (учтите, что так как вы указали приведенные выше входные данные, вы можете просто скопировать и вставить команду в сеанс PowerShell)
Import-AzAksCredential -Force `
-ResourceGroupName $params["aks-cluster-rg-name"] `
-Name $params["aks-cluster-name"]