Freigeben über

Überprüfen von gMSA in AKS mit dem PowerShell-Modul

  • Artikel

Nachdem Sie gMSA in AKS mit dem PowerShell-Modul konfiguriert haben, kann Ihre Anwendung auf Ihren Windows Knoten in AKS bereitgestellt werden. Wenn Sie jedoch weiter überprüfen möchten, ob die Konfiguration ordnungsgemäß eingerichtet ist, können Sie anhand der unten angegebenen Anweisungen überprüfen, ob Ihre Bereitstellung ordnungsgemäß konfiguriert ist.

Überprüfen

Das gMSA im AKS PowerShell-Modul bietet einen Befehl, um zu überprüfen, ob die Einstellungen für Ihre Umgebung ordnungsgemäß konfiguriert sind. Überprüfen Sie, ob die gMSA-Anmeldeinformationsspezifikation mit dem folgenden Befehl funktioniert:

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Sammeln von gMSA-Protokollen von Ihren Windows Knoten

Der folgende Befehl kann verwendet werden, um Protokolle aus den Windows Hosts zu extrahieren:

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

Die Protokolle werden von jedem Windows Host in das lokale Verzeichnis $params["logs-directory"] kopiert. Das Protokollverzeichnis hat ein Unterverzeichnis, das nach jedem Windows Agent-Host benannt ist. Die EVTX-Protokolldatei von CCG (Container Credential Guard) kann in der Ereignisanzeige ordnungsgemäß überprüft werden, wenn die folgenden Anforderungen erfüllt sind:

  • Das Container Windows Feature ist installiert. Es kann mithilfe des folgenden Befehls über PowerShell installiert werden:
# Needs computer restart
Install-WindowsFeature -Name Containers
  • Die Protokollmanifestdatei „CCGEvents.man“ wird registriert über:
wevtutil im CCGEvents.man

Hinweis

Die Protokollmanifestdatei muss von Microsoft bereitgestellt werden.

Einrichten einer Beispielanwendung mit gMSA

Zusätzlich zur Optimierung der Konfiguration von gMSA unter AKS bietet das PowerShell-Modul auch eine Beispielanwendung, die Sie zu Testzwecken verwenden können. Führen Sie folgende Schritte aus, um die Beispielanwendung zu installieren:

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Überprüfen des Zugriffs des AKS-Agentpools auf Azure Key Vault

Ihre AKS-Knotenpools müssen auf das Azure Key Vault-Geheimnis zugreifen können, um das Konto zu verwenden, das das gMSA in Active Directory abrufen kann. Es ist wichtig, dass Sie diesen Zugriff ordnungsgemäß konfiguriert haben, damit Ihre Knoten mit Ihrem Active Directory-Domänencontroller kommunizieren können. Wenn Ihre Anwendung nicht auf die Geheimnisse zugreifen kann, bedeutet dies, dass sie sich nicht authentifizieren kann. Andererseits ist es oftmals sinnvoll, sicherzustellen, dass Knotenpools kein Zugriff erteilt wird, wenn sie ihn nicht unbedingt benötigen.

Mit dem PowerShell-Modul gMSA in AKS können Sie überprüfen, welche Knotenpools Zugriff auf welche Geheimnisse in Azure Key Vault haben.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

Modulfeedback

Feedback, Fragen und Vorschläge zum gMSA im AKS PowerShell-Modul finden Sie im Windows Container-Repository auf GitHub.