Implementera containerbaserade Windows-arbetsbelastningar

Slutförd

Contoso förlitar sig på AD DS som identitetsprovider för Windows- och Linux-baserade arbetsbelastningar, med Kerberos som primärt autentiseringsprotokoll. Information Security-teamet bad dig undersöka alternativen för att integrera containerbaserade arbetsbelastningar som hanteras av AKS i Azure Stack HCI med Contosos AD DS-miljö. Med tanke på att du tänker distribuera Windows-baserade noder och containrar till Kubernetes-kluster vill du avgöra i vilken utsträckning sådan integrering är möjlig.

Integrera Windows-containrar i AKS på Azure Stack HCI med AD DS

Det kan finnas scenarier där containerbaserade Windows-baserade program som körs i Kubernetes-poddar kan behöva åtkomst till AD DS-skyddade resurser. Sådana funktioner kräver användning av en domänbaserad AD DS-identitet för att slutföra autentiserings- och auktoriseringsuppgifter. Om du vill implementera den här identiteten kan du använda grupphanterade tjänstkonton (gMSA).

Jämfört med den traditionella metoden för att hantera identiteter för Windows-tjänster och program som behöver kunna autentisera på egen hand, erbjuder gMSA flera fördelar, bland annat automatiska lösenordsändringar, förenklad installation och underhåll samt stöd för delegerad hantering.

Om du vill att poddar ska kunna använda gMSA för autentisering ansluter du alla Windows Server-baserade Kubernetes-arbetsnoder som ska vara värdar för poddarna till en AD DS-domän. Utför domänanslutningen genom att ansluta till varje nod via Secure Shell (SSH) och sedan köra kommandoradsverktyget netdom.exe med kopplingsväxeln.

Resten av processen är densamma som i alla Kubernetes-kluster som innehåller Windows Server-arbetsnoder, och den har följande steg på hög nivå:

  1. Etablera en gMSA i AD DS och tilldela den till Windows Server-noderna.
  2. Definiera en anpassad Kubernetes-resurstyp som representerar AD DS gMSA (GMSACredentialSpec).
  3. Konfigurera en webhook-baserad mekanism som automatiskt fyller i och validerar GMSACredentialSpec-referenser för poddar och containrar.
  4. Skapa en anpassad resurs baserat på resurstypen GMSACredentialSpec.
  5. Definiera en klusterroll för att aktivera RBAC för GMSACredentialSpec-resursen.
  6. Tilldela rollen till AD DS gMSA för att auktorisera dess användning av motsvarande GMSACredentialSpec-resurs.
  7. Inkludera en referens till GMSACredentialSpec-resursen i definitionen av poddar som ska använda den för AD DS-autentisering.

Kommentar

Om du vill aktivera gMSA-stöd får namnet på Kubernetes-klustret inte överstiga tre tecken. Den här begränsningen beror på gränsen på 15 tecken för ett domänanslutet datornamn.

Kunskapstest

1.

Contosos informationssäkerhetsteam ber dig undersöka alternativen för att implementera AD DS-baserad autentisering av Windows-baserade containerbaserade arbetsbelastningar som hanteras av AKS på Azure Stack HCI. Du börjar med att distribuera ett Kubernetes-kluster som innehåller Windows Server-noder till ditt Azure Stack HCI-kluster. Hur ska du göra nu?