Condividi tramite

gMSA in servizio Azure Kubernetes

  • Articolo

Gli account del servizio gestito del gruppo (gMSA) possono essere usati in servizio Azure Kubernetes (AKS) per supportare applicazioni che richiedono Active Directory a scopo di autenticazione. La configurazione di gMSA nel servizio Azure Kubernetes richiede di configurare correttamente i servizi e le impostazioni seguenti: servizio Azure Kubernetes, Azure Key Vault, Active Directory, specifiche delle credenziali e così via. Per semplificare questo processo, è possibile usare il modulo PowerShell seguente. Questo modulo è stato personalizzato per semplificare il processo di configurazione di gMSA nel servizio Azure Kubernetes rimuovendo la complessità della configurazione di servizi diversi.

Requisiti dell'ambiente

Per distribuire gMSA nel servizio Azure Kubernetes, sarà necessario quanto segue:

Installare il modulo gMSA in PowerShell del servizio Azure Kubernetes

Per iniziare, scaricare il modulo di PowerShell dalla raccolta di PowerShell:

Install-Module -Name AksGMSA -Repository PSGallery -Force

Nota

Il modulo gMSA in PowerShell del servizio Azure Kubernetes viene aggiornato costantemente. Se sono stati eseguiti i passaggi di questa esercitazione prima e ora viene eseguito il controllo delle nuove configurazioni, assicurarsi di aggiornare il modulo alla versione più recente. Altre informazioni sul modulo sono disponibili nella pagina PowerShell Gallery.

Requisiti del modulo

Il modulo gMSA in PowerShell del servizio Azure Kubernetes si basa su moduli e strumenti diversi. Per installare questi requisiti, eseguire quanto segue in una sessione con privilegi elevati:

Install-ToolingRequirements

Accedere con le credenziali di Azure

È necessario accedere ad Azure con le credenziali per il modulo gMSA in PowerShell del servizio Azure Kubernetes per configurare correttamente il cluster del servizio Azure Kubernetes. Per accedere ad Azure tramite PowerShell, eseguire quanto segue:

Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"

È anche necessario accedere con l'interfaccia della riga di comando di Azure, come il modulo di PowerShell usa anche questo in background:

az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"

Configurazione degli input necessari per gMSA nel modulo del servizio Azure Kubernetes

In tutta la configurazione di gMSA nel servizio Azure Kubernetes saranno necessari molti input, ad esempio il nome del cluster del servizio Azure Kubernetes, il nome del gruppo di risorse di Azure, l'area per distribuire gli asset necessari, il nome di dominio di Active Directory e molto altro ancora. Per semplificare il processo seguente, è stato creato un comando di input che raccoglierà tutti i valori necessari e lo archivierà in una variabile che verrà quindi usata nei comandi seguenti.

Per iniziare, eseguire quanto segue:

$params = Get-AksGMSAParameters

Dopo aver eseguito il comando, specificare gli input necessari fino al termine del comando. Da ora in poi è possibile copiare e incollare semplicemente i comandi, come illustrato in questa pagina.

Connettersi al cluster del servizio Azure Kubernetes

Durante l'uso del modulo gMSA in PowerShell del servizio Azure Kubernetes, si connetterà al cluster del servizio Azure Kubernetes che si vuole configurare. Il modulo gMSA in Azure Kubernetes si basa sulla connessione kubectl. Per connettere il cluster, eseguire quanto segue: (Si noti che perché sono stati forniti gli input precedenti, è sufficiente copiare e incollare il comando seguente nella sessione di PowerShell).

 Import-AzAksCredential -Force `
 -ResourceGroupName $params["aks-cluster-rg-name"] `
 -Name $params["aks-cluster-name"]

Passaggi successivi

Configurare gMSA nel servizio Azure Kubernetes con il modulo PowerShell