Использование управляемого удостоверения с Bridge to Kubernetes
Если кластер AKS использует функции безопасности управляемого удостоверения для безопасного доступа к секретам и ресурсам, для Bridge to Kubernetes требуется специальная настройка, чтобы обеспечить возможность работы с этими функциями. Маркер Microsoft Entra необходимо скачать на локальный компьютер, чтобы обеспечить правильную защиту локального выполнения и отладки, и для этого требуется определенная специальная конфигурация в Bridge to Kubernetes. В этой статье показано, как настроить Bridge to Kubernetes для работы со службами, использующими управляемое удостоверение.
Настройка службы для использования управляемого удостоверения
Чтобы включить локальный компьютер с поддержкой управляемого удостоверения, в файле KubernetesLocalConfig.yaml в разделе enableFeatures
добавьте ManagedIdentity
. Добавьте раздел enableFeatures
, если он еще не создан.
enableFeatures:
- ManagedIdentity
Предупреждение
Не забудьте использовать только управляемое удостоверение для Bridge to Kubernetes при работе с кластерами разработки, а не рабочими кластерами, так как маркер Microsoft Entra извлекается на локальный компьютер, который представляет потенциальный риск безопасности.
Если у вас нет файла KubernetesLocalConfig.yaml, его можно создать: см. раздел Настройка Bridge to Kubernetes.
Получение маркеров Microsoft Entra
Необходимо убедиться, что вы используете Azure.Identity.DefaultAzureCredential
или Azure.Identity.ManagedIdentityCredential
в коде при получении маркера.
В следующем коде C# показано, как получить учетные данные учетной записи хранения при использовании ManagedIdentityCredential
:
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
В следующем коде показано, как получить учетные данные учетной записи хранения при использовании DefaultAzureCredential:
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Сведения о том, как получить доступ к другим ресурсам Azure с помощью управляемого удостоверения, см. в разделе Дальнейшие действия.
Получение оповещений Azure при загрузка маркеров
Каждый раз, когда вы используете Bridge to Kubernetes в службе, маркер Microsoft Entra загружается на локальный компьютер. Чтобы получать уведомления, когда это происходит, вы можете включить оповещения Azure. Дополнительные сведения см. в статье Включение Azure Defender. Имейте в виду, что плата взимается по истечении 30-дневного пробного периода.
Следующие шаги
Теперь, когда Bridge to Kubernetes настроен для работы с кластером AKS, использующим управляемое удостоверение, можно выполнить отладку в нормальном режиме. См. раздел [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].
Дополнительные сведения об использовании управляемого удостоверения для доступа к ресурсам Azure см. в следующих руководствах:
- Руководство. Использование управляемого удостоверения, назначаемого системой виртуальной машины Linux, для доступа к служба хранилища Azure
- Руководство. Использование управляемого удостоверения, назначаемого системой виртуальной машины Linux, для доступа к Azure Data Lake Store
- Руководство. Использование управляемого удостоверения, назначаемого системой виртуальной машины Linux, для доступа к Azure Key Vault
В этом разделе также приводятся другие руководства по использованию управляемого удостоверения для доступа к другим ресурсам Azure.