Verwenden der verwalteten Identität mit Bridge to Kubernetes

Wenn Ihr AKS-Cluster Sicherheitsfeatures der verwalteten Identität für den sicheren Zugriff auf Geheimnisse und Ressourcen verwendet, sind für die Bridge to Kubernetes-Erweiterung bestimmte Konfigurationen erforderlich, damit diese mit diesen Features funktioniert. Ein Microsoft Entra-Token muss auf den lokalen Computer heruntergeladen werden, damit sichergestellt werden kann, dass die lokale Ausführung und das Debuggen ordnungsgemäß gesichert ist. Dazu sind einige Konfigurationen in Bridge to Kubernetes erforderlich. In diesem Artikel wird erläutert, wie Sie Bridge to Kubernetes konfigurieren, um mit Diensten zu arbeiten, die die verwaltete Identität verwenden.

So konfigurieren Sie Ihren Dienst zur Verwendung der verwalteten Identität

Fügen Sie zum Aktivieren eines lokalen Computers mit Unterstützung für die verwaltete Identität ManagedIdentity in der KubernetesLocalConfig.yaml-Datei im Abschnitt enableFeatures hinzu. Fügen Sie den Abschnitt enableFeatures hinzu, falls dieser noch nicht vorhanden ist.

enableFeatures:
  - ManagedIdentity

Wenn Sie keine KubernetesLocalConfig.yaml-Datei besitzen, können Sie eine erstellen. Informationen hierzu finden Sie unter Konfigurieren von Bridge to Kubernetes.

Abrufen der Microsoft Entra-Token

Sie müssen sicherstellen, dass Sie beim Abrufen des Tokens entweder Azure.Identity.DefaultAzureCredential oder Azure.Identity.ManagedIdentityCredential verwenden.

Der folgende C#-Code stellt dar, wie Sie Anmeldeinformationen für das Speicherkonto unter Verwendung von ManagedIdentityCredential abrufen:

var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Der folgende Code stellt dar, wie Sie Anmeldeinformationen für das Speicherkonto unter Verwendung von DefaultAzureCredential abrufen:

var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Im Abschnitt Nächste Schritte erfahren Sie, wie Sie auf andere Azure-Ressourcen mithilfe der verwalteten Identität zugreifen.

Empfangen von Azure-Warnungen beim Download von Token

Immer dann, wenn Sie Bridge to Kubernetes für einen Dienst verwenden, wird das Microsoft Entra-Token auf dem lokalen Computer heruntergeladen. Sie können Azure-Warnungen aktivieren, damit Sie über diesen Vorgang benachrichtigt werden. Weitere Informationen finden Sie unter Aktualisieren von Azure Defender. Beachten Sie, dass nach dem 30-tätigen kostenlosen Testzeitraum Gebühren anfallen.

Nächste Schritte

Da Sie nun Bridge to Kubernetes für die Verwendung mit Ihrem AKS-Cluster, der die verwaltete Identität verwendet, konfiguriert haben, können Sie den Debugvorgang wie gewohnt durchführen. Weitere Informationen finden Sie unter [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].

In den folgenden Tutorials finden Sie weitere Informationen zur Verwendung der verwalteten Identität zum Zugriff auf Azure-Ressourcen:

• Tutorial: Verwenden einer systemseitig zugewiesenen verwalteten Identität eines virtuellen Linux-Computers für den Zugriff auf Azure Storage
• Tutorial: Verwenden einer systemseitig zugewiesenen verwalteten Identität eines virtuellen Linux-Computers für den Zugriff auf Azure Data Lake Store
• Tutorial: Verwenden einer systemseitig zugewiesenen verwalteten Identität eines virtuellen Linux-Computers für den Zugriff auf Azure Key Vault

In diesem Abschnitt gibt es zusätzliche Tutorials sowie Tutorials zur Verwendung der verwalteten Identität zum Zugriff auf andere Azure-Ressourcen.

Siehe auch

Microsoft Entra ID