Поделиться через


gMSA в службе Azure Kubernetes

Групповые управляемые учетные записи служб (gMSA) можно использовать в службе Azure Kubernetes (AKS) для поддержки приложений, требующих проверки подлинности Active Directory. Настройка gMSA в AKS требует правильной настройки следующих служб и параметров: AKS, Azure Key Vault, Active Directory, спецификаций учетных данных и т. д. Чтобы упростить этот процесс, можно использовать приведенный ниже модуль PowerShell. Этот модуль был адаптирован для упрощения процесса настройки gMSA в AKS, удаляя сложность настройки различных служб.

Требования к среде

Чтобы развернуть gMSA в AKS, вам потребуется следующее:

  • Кластер AKS с узлами Windows, готовыми к работе. Если у вас нет готового кластера AKS, ознакомьтесь с документацией по службе Azure Kubernetes.
  • Среда Active Directory правильно настроена для gMSA. Дополнительные сведения о настройке домена приведены ниже.
    • Узлы Windows в AKS должны иметь возможность подключаться к контроллерам домена Active Directory.
  • Учетные данные домена Active Directory с делегированной авторизацией для настройки gMSA и стандартного пользователя домена. Эта задача может быть делегирована авторизованным пользователям (при необходимости).

Установка gMSA в модуле AKS PowerShell

Чтобы приступить к работе, скачайте модуль PowerShell из коллекции PowerShell:

Install-Module -Name AksGMSA -Repository PSGallery -Force

Заметка

Модуль gMSA в AKS PowerShell постоянно обновляется. Если вы выполнили действия, описанные в этом руководстве, и теперь выполняете проверку на новые конфигурации, убедитесь, что модуль обновлен до последней версии. Дополнительные сведения о модуле можно найти на странице галереи PowerShell.

Требования к модулю

Модуль gMSA в AKS PowerShell использует различные модули и средства. Чтобы установить эти требования, выполните следующие действия в сеансе с повышенными привилегиями:

Install-ToolingRequirements

Вход с помощью учетных данных Azure

Вам потребуется войти в Azure с учетными данными для gMSA в модуле AKS PowerShell, чтобы правильно настроить кластер AKS. Чтобы войти в Azure с помощью PowerShell, выполните следующие действия:

Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"

Кроме того, необходимо войти с помощью Azure CLI, так как модуль PowerShell также использует его в фоновом режиме:

az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"

Настройка необходимых входных данных для gMSA в модуле AKS

На протяжении всей конфигурации gMSA в AKS потребуется много входных данных, например имя кластера AKS, имя группы ресурсов Azure, регион для развертывания необходимых ресурсов, доменного имени Active Directory и многое другое. Чтобы упростить приведенный ниже процесс, мы создали входную команду, которая соберет все необходимые значения и сохраните ее в переменной, которая затем будет использоваться в приведенных ниже командах.

Чтобы начать, выполните следующую команду:

$params = Get-AksGMSAParameters

После выполнения команды предоставьте необходимые входные данные до завершения команды. Теперь вы можете просто скопировать и вставить команды, как показано на этой странице.

Подключение к кластеру AKS

При использовании gMSA в модуле AKS PowerShell вы будете подключаться к кластеру AKS, который вы хотите настроить. Модуль AKs PowerShell gMSA зависит от подключения kubectl. Чтобы подключить кластер, выполните следующее: (Обратите внимание, что, так как вы предоставили входные данные выше, вы можете просто скопировать и вставить следующую команду в сеанс PowerShell).

 Import-AzAksCredential -Force `
 -ResourceGroupName $params["aks-cluster-rg-name"] `
 -Name $params["aks-cluster-name"]

Следующий шаг