gMSA в службе Azure Kubernetes
Групповые управляемые учетные записи служб (gMSA) можно использовать в службе Azure Kubernetes (AKS) для поддержки приложений, требующих проверки подлинности Active Directory. Настройка gMSA в AKS требует правильной настройки следующих служб и параметров: AKS, Azure Key Vault, Active Directory, спецификаций учетных данных и т. д. Чтобы упростить этот процесс, можно использовать приведенный ниже модуль PowerShell. Этот модуль был адаптирован для упрощения процесса настройки gMSA в AKS, удаляя сложность настройки различных служб.
Требования к среде
Чтобы развернуть gMSA в AKS, вам потребуется следующее:
- Кластер AKS с узлами Windows, готовыми к работе. Если у вас нет готового кластера AKS, ознакомьтесь с документацией по службе Azure Kubernetes.
- Ваш кластер должен иметь разрешение на использование gMSA в AKS. Дополнительные сведения см. в статье о включении управляемых групповых учетных записей (GMSA) для узлов Windows Server в кластере Azure Kubernetes Service (AKS).
- Среда Active Directory правильно настроена для gMSA. Дополнительные сведения о настройке домена приведены ниже.
- Узлы Windows в AKS должны иметь возможность подключаться к контроллерам домена Active Directory.
- Учетные данные домена Active Directory с делегированной авторизацией для настройки gMSA и стандартного пользователя домена. Эта задача может быть делегирована авторизованным пользователям (при необходимости).
Установка gMSA в модуле AKS PowerShell
Чтобы приступить к работе, скачайте модуль PowerShell из коллекции PowerShell:
Install-Module -Name AksGMSA -Repository PSGallery -Force
Заметка
Модуль gMSA в AKS PowerShell постоянно обновляется. Если вы выполнили действия, описанные в этом руководстве, и теперь выполняете проверку на новые конфигурации, убедитесь, что модуль обновлен до последней версии. Дополнительные сведения о модуле можно найти на странице галереи PowerShell.
Требования к модулю
Модуль gMSA в AKS PowerShell использует различные модули и средства. Чтобы установить эти требования, выполните следующие действия в сеансе с повышенными привилегиями:
Install-ToolingRequirements
Вход с помощью учетных данных Azure
Вам потребуется войти в Azure с учетными данными для gMSA в модуле AKS PowerShell, чтобы правильно настроить кластер AKS. Чтобы войти в Azure с помощью PowerShell, выполните следующие действия:
Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"
Кроме того, необходимо войти с помощью Azure CLI, так как модуль PowerShell также использует его в фоновом режиме:
az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"
Настройка необходимых входных данных для gMSA в модуле AKS
На протяжении всей конфигурации gMSA в AKS потребуется много входных данных, например имя кластера AKS, имя группы ресурсов Azure, регион для развертывания необходимых ресурсов, доменного имени Active Directory и многое другое. Чтобы упростить приведенный ниже процесс, мы создали входную команду, которая соберет все необходимые значения и сохраните ее в переменной, которая затем будет использоваться в приведенных ниже командах.
Чтобы начать, выполните следующую команду:
$params = Get-AksGMSAParameters
После выполнения команды предоставьте необходимые входные данные до завершения команды. Теперь вы можете просто скопировать и вставить команды, как показано на этой странице.
Подключение к кластеру AKS
При использовании gMSA в модуле AKS PowerShell вы будете подключаться к кластеру AKS, который вы хотите настроить. Модуль AKs PowerShell gMSA зависит от подключения kubectl. Чтобы подключить кластер, выполните следующее: (Обратите внимание, что, так как вы предоставили входные данные выше, вы можете просто скопировать и вставить следующую команду в сеанс PowerShell).
Import-AzAksCredential -Force `
-ResourceGroupName $params["aks-cluster-rg-name"] `
-Name $params["aks-cluster-name"]