Partilhar via

Validar a gMSA no AKS com o módulo do PowerShell

  • Artigo

Depois de configurar a gMSA no AKS com o módulo do PowerShell, seu aplicativo está pronto para ser implantado em seus nós do Windows no AKS. No entanto, se quiser validar ainda mais se a configuração está definida corretamente, você pode usar as instruções abaixo para confirmar se sua implantação está configurada corretamente.

Validação

O módulo do PowerShell da gMSA no AKS fornece um comando para validar se as configurações do seu ambiente estão configuradas corretamente. Confirme se a especificação da credencial da gMSA está funcionando com o seguinte comando:

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Coletar logs da gMSA nos nós do Windows

O seguinte comando pode ser usado para extrair logs dos hosts do Windows:

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

Os logs serão copiados de cada host do Windows para o diretório local $params["logs-directory"]. O diretório de logs terá um subdiretório com o nome de cada host de agente do Windows. O arquivo de log .evtx de CCG (Proteção de Credencial de Contêiner) pode ser devidamente inspecionado no Visualizador de Eventos somente após o atendimento dos seguintes requisitos:

  • O recurso do Windows Contêineres está instalado. Ele pode ser instalado pelo PowerShell usando o seguinte comando:
# Needs computer restart
Install-WindowsFeature -Name Containers
  • O arquivo de manifesto de registro CCGEvents.man é registrado por meio de:
wevtutil im CCGEvents.man

Observação

O arquivo de manifesto de registro precisa ser fornecido pela Microsoft.

Configurar aplicativo de exemplo usando a gMSA

Além de simplificar a configuração da gMSA no AKS, o módulo do PowerShell também fornece um aplicativo de exemplo para você usar para fins de teste. Para instalar o aplicativo de exemplo, execute o seguinte comando:

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Valide o acesso ao pool de agentes do AKS ao Azure Key Vault

Seus pools de nós do AKS precisam poder acessar o segredo do Azure Key Vault para usar a conta que pode recuperar a gMSA no Active Directory. É importante que você tenha configurado esse acesso corretamente para que seus nós possam se comunicar com o controlador de domínio do Active Directory. Falha ao acessar os segredos significa que seu aplicativo não poderá ser autenticado. Por outro lado, talvez você queira garantir que nenhum acesso seja dado aos pools de nós que não precisam necessariamente dele.

O módulo do PowerShell da gSMA no AKS permite validar quais pools de nós têm acesso a quais segredos no Azure Key Vault.

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

Comentários sobre o módulo

Para comentários, perguntas e sugestões sobre o módulo do PowerShell da gMSA no AKS, visite o repositório dos Contêineres do Windows no GitHub.