Použití spravované identity s bridge do Kubernetes
Pokud váš cluster AKS používá funkce zabezpečení spravovaných identit k zabezpečení přístupu k tajným kódům a prostředkům, přemostit na Kubernetes potřebuje speciální konfiguraci, aby s těmito funkcemi fungoval. Do místního počítače je potřeba stáhnout token Microsoft Entra, aby se zajistilo správné zabezpečení místního spouštění a ladění, což vyžaduje určitou speciální konfiguraci v bridge to Kubernetes. Tento článek ukazuje, jak nakonfigurovat bridge na Kubernetes pro práci se službami, které používají spravovanou identitu.
Jak nakonfigurovat službu tak, aby používala spravovanou identitu
Pokud chcete povolit místní počítač s podporou spravované identity, přidejte ManagedIdentityv souboru KubernetesLocalConfig.yaml v enableFeatures části . Pokud tam ještě není oddíl, přidejte ho enableFeatures .
enableFeatures:
- ManagedIdentity
Upozorňující
Při práci s vývojovými clustery, nikoli produkčními clustery, nezapomeňte použít spravovanou identitu pouze pro Bridge to Kubernetes, protože token Microsoft Entra se načte do místního počítače, což představuje potenciální bezpečnostní riziko.
Pokud nemáte soubor KubernetesLocalConfig.yaml , můžete ho vytvořit. Viz Postup: Konfigurace mostu na Kubernetes.
Jak načíst tokeny Microsoft Entra
Při načítání tokenu se musíte ujistit, že spoléháte na token Azure.Identity.DefaultAzureCredential nebo Azure.Identity.ManagedIdentityCredential do kódu.
Následující kód jazyka C# ukazuje, jak při použití ManagedIdentityCredentialnačíst přihlašovací údaje účtu úložiště:
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Následující kód ukazuje, jak načíst přihlašovací údaje účtu úložiště při použití DefaultAzureCredential:
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
Informace o přístupu k jiným prostředkům Azure pomocí spravované identity najdete v části Další kroky .
Příjem upozornění Azure při stahování tokenů
Pokaždé, když ve službě použijete Bridge na Kubernetes, stáhne se do místního počítače token Microsoft Entra. Pokud k tomu dojde, můžete povolit upozornění Azure. Informace najdete v tématu Povolení Azure Defenderu. Mějte prosím na paměti, že se účtuje poplatek (po 30denním zkušebním období).
Další kroky
Teď, když jste nakonfigurovali přemístit na Kubernetes pro práci s clusterem AKS, který používá spravovanou identitu, můžete ladit jako obvykle. Viz [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].
Další informace o použití spravované identifikace pro přístup k prostředkům Azure najdete v následujících kurzech:
- Kurz: Použití spravované identity přiřazené systémem na virtuálním počítači s Linuxem pro přístup ke službě Azure Storage
- Kurz: Použití spravované identity přiřazené systémem na virtuálním počítači s Linuxem pro přístup ke službě Azure Data Lake Store
- Kurz: Použití spravované identity přiřazené systémem na virtuálním počítači s Linuxem pro přístup ke službě Azure Key Vault
V této části najdete i další kurzy týkající se použití spravované identity pro přístup k dalším prostředkům Azure.
Viz také
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro