gMSA unter Azure Kubernetes Service

In Gruppen verwaltete Dienstkonten (Group Managed Service Accounts, gMSA) können unter Azure Kubernetes Service (AKS) verwendet werden, um Anwendungen zu unterstützen, die Active Directory für Authentifizierungszwecke benötigen. Für die Konfiguration von gMSA in AKS müssen Sie die folgenden Dienste und Einstellungen ordnungsgemäß einrichten: AKS, Azure Key Vault, Active Directory, Spezifikationen für Anmeldeinformationen usw. Um diesen Prozess zu optimieren, können Sie das folgende PowerShell-Modul verwenden. Dieses Modul wurde speziell für die Vereinfachung des Prozesses der Konfiguration von gMSA in AKS zugeschnitten, indem die Komplexität der Einrichtung verschiedener Dienste beseitigt wird.

Umgebungsanforderungen

Um gMSA unter AKS bereitzustellen, benötigen Sie Folgendes:

• Ein AKS-Cluster mit Windows Knoten, die ausgeführt werden. Wenn Sie keinen AKS-Cluster bereit haben, lesen Sie die Azure Kubernetes Service-Dokumentation.
  • Ihr Cluster muss in AKS für das gMSA autorisiert sein. Weitere Informationen finden Sie unter Aktivieren von gruppenverwalteten Dienstkonten (GMSAs) für Ihre Windows Server-Knoten auf Ihrem AKS-Cluster (Azure Kubernetes Service).
• Eine Active Directory-Umgebung, die ordnungsgemäß für gMSA konfiguriert ist. Details zum Konfigurieren Ihrer Domäne finden Sie weiter unten.
  • Ihre Windows-Knoten in AKS müssen eine Verbindung mit Ihren Active Directory-Domänen-Controllern herstellen können.
• Active Directory-Domänenanmeldeinformationen mit delegierter Autorisierung zum Einrichten des gMSA und eines Standarddomänenbenutzers. Diese Aufgabe kann (bei Bedarf) an autorisierte Personen delegiert werden.

Installieren des gMSA im AKS PowerShell-Modul

Laden Sie zum Einstieg das PowerShell-Modul aus dem PowerShell-Katalog herunter:

Install-Module -Name AksGMSA -Repository PSGallery -Force

Modulanforderungen

Das gMSA im AKS PowerShell-Modul basiert auf verschiedenen Modulen und Tools. Um diese Anforderungen zu installieren, führen Sie Folgendes in einer Sitzung mit erhöhten Rechten aus:

Install-ToolingRequirements

Melden Sie sich mit Ihren Azure-Anmeldeinformationen an

Sie müssen bei Azure mit Ihren Anmeldeinformationen für das gMSA-Modul im AKS PowerShell-Modul angemeldet sein, um Ihren AKS-Cluster ordnungsgemäß zu konfigurieren. Um sich über PowerShell bei Azure anmelden zu können, führen Sie Folgendes aus:

Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"

Sie müssen sich auch mit Azure CLI anmelden, da das PowerShell-Modul dieses im Hintergrund ebenfalls verwendet:

az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"

Einrichten der erforderlichen Eingaben für gMSA im AKS-Modul

Während der gesamten Konfiguration von gMSA in AKS sind viele Eingaben erforderlich, z. B.: Name Ihres AKS-Clusters, Name der Azure-Ressourcengruppe, Region zum Bereitstellen der erforderlichen Ressourcen, Active Directory-Domänenname und vieles mehr. Um den unten angegebenen Prozess zu optimieren, haben wir einen Eingabebefehl erstellt, der alle erforderlichen Werte sammelt und in einer Variablen speichert, die dann für die folgenden Befehle verwendet wird.

Führen Sie zum Starten Folgendes aus:

$params = Get-AksGMSAParameters

Geben Sie nach dem Ausführen des Befehls die erforderlichen Eingaben an, bis der Befehl abgeschlossen ist. Ab jetzt können Sie einfach die Befehle kopieren und einfügen wie auf dieser Seite gezeigt.

Herstellen einer Verbindung mit dem AKS-Cluster

Wenn Sie das gMSA im AKS PowerShell-Modul verwenden, verbinden Sie sich mit dem AKS-Cluster, den Sie konfigurieren möchten. Das gMSA im AKs PowerShell-Modul basiert auf der kubectl-Verbindung. Führen Sie zum Herstellen einer Verbindung mit Ihrem Cluster Folgendes aus: (Da Sie die obigen Eingaben bereitgestellt haben, können Sie einfach den folgenden Befehl kopieren und in Ihre PowerShell-Sitzung einfügen.)

 Import-AzAksCredential -Force `
 -ResourceGroupName $params["aks-cluster-rg-name"] `
 -Name $params["aks-cluster-name"]

Nächste Schritte