Verwenden der verwalteten Identität mit Bridge to Kubernetes
Wenn Ihr AKS-Cluster Sicherheitsfeatures der verwalteten Identität für den sicheren Zugriff auf Geheimnisse und Ressourcen verwendet, sind für die Bridge to Kubernetes-Erweiterung bestimmte Konfigurationen erforderlich, damit diese mit diesen Features funktioniert. Ein Microsoft Entra-Token muss auf den lokalen Computer heruntergeladen werden, damit sichergestellt werden kann, dass die lokale Ausführung und das Debuggen ordnungsgemäß gesichert ist. Dazu sind einige Konfigurationen in Bridge to Kubernetes erforderlich. In diesem Artikel wird erläutert, wie Sie Bridge to Kubernetes konfigurieren, um mit Diensten zu arbeiten, die die verwaltete Identität verwenden.
So konfigurieren Sie Ihren Dienst zur Verwendung der verwalteten Identität
Fügen Sie zum Aktivieren eines lokalen Computers mit Unterstützung für die verwaltete Identität ManagedIdentity
in der KubernetesLocalConfig.yaml-Datei im Abschnitt enableFeatures
hinzu. Fügen Sie den Abschnitt enableFeatures
hinzu, falls dieser noch nicht vorhanden ist.
enableFeatures:
- ManagedIdentity
Warnung
Verwenden Sie nur die verwaltete Identität für Bridge to Kubernetes, wenn Sie in Entwicklungsclustern und nicht in Produktionsclustern arbeiten, da das Microsoft Entra-Token auf dem lokalen Computer abgerufen wird, was ein potenzielles Sicherheitsrisiko darstellt.
Wenn Sie keine KubernetesLocalConfig.yaml-Datei besitzen, können Sie eine erstellen. Informationen hierzu finden Sie unter Konfigurieren von Bridge to Kubernetes.
Abrufen der Microsoft Entra-Token
Sie müssen sicherstellen, dass Sie beim Abrufen des Tokens entweder Azure.Identity.DefaultAzureCredential
oder Azure.Identity.ManagedIdentityCredential
verwenden.
Der folgende C#-Code stellt dar, wie Sie Anmeldeinformationen für das Speicherkonto unter Verwendung von ManagedIdentityCredential
abrufen:
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Der folgende Code stellt dar, wie Sie Anmeldeinformationen für das Speicherkonto unter Verwendung von DefaultAzureCredential abrufen:
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Im Abschnitt Nächste Schritte erfahren Sie, wie Sie auf andere Azure-Ressourcen mithilfe der verwalteten Identität zugreifen.
Empfangen von Azure-Warnungen beim Download von Token
Immer dann, wenn Sie Bridge to Kubernetes für einen Dienst verwenden, wird das Microsoft Entra-Token auf dem lokalen Computer heruntergeladen. Sie können Azure-Warnungen aktivieren, damit Sie über diesen Vorgang benachrichtigt werden. Weitere Informationen finden Sie unter Aktualisieren von Azure Defender. Beachten Sie, dass nach dem 30-tätigen kostenlosen Testzeitraum Gebühren anfallen.
Nächste Schritte
Da Sie nun Bridge to Kubernetes für die Verwendung mit Ihrem AKS-Cluster, der die verwaltete Identität verwendet, konfiguriert haben, können Sie den Debugvorgang wie gewohnt durchführen. Weitere Informationen finden Sie unter [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].
In den folgenden Tutorials finden Sie weitere Informationen zur Verwendung der verwalteten Identität zum Zugriff auf Azure-Ressourcen:
- Tutorial: Verwenden einer systemseitig zugewiesenen verwalteten Identität eines virtuellen Linux-Computers für den Zugriff auf Azure Storage
- Tutorial: Verwenden einer systemseitig zugewiesenen verwalteten Identität eines virtuellen Linux-Computers für den Zugriff auf Azure Data Lake Store
- Tutorial: Verwenden einer systemseitig zugewiesenen verwalteten Identität eines virtuellen Linux-Computers für den Zugriff auf Azure Key Vault
In diesem Abschnitt gibt es zusätzliche Tutorials sowie Tutorials zur Verwendung der verwalteten Identität zum Zugriff auf andere Azure-Ressourcen.