Önceki

Sonraki

Kapsayıcılı Windows iş yüklerini uygulama

Tamamlandı

Contoso, Windows ve Linux tabanlı iş yükleri için kimlik sağlayıcısı olarak AD DS'ye ve birincil kimlik doğrulama protokolü olarak Kerberos'a güvenir. Bilgi Güvenliği ekibi, Azure Stack HCI üzerinde AKS tarafından barındırılan kapsayıcılı iş yüklerini Contoso'nun AD DS ortamıyla tümleştirme seçeneklerini araştırmanızı istedi. Windows tabanlı düğümleri ve kapsayıcıları Kubernetes kümelerine dağıtmayı düşündüğünüze göre, bu tümleştirmenin ne ölçüde mümkün olduğunu belirlemek istiyorsunuz.

Azure Stack HCI üzerinde AKS'deki Windows kapsayıcılarını AD DS ile tümleştirme

Kubernetes podlarında çalışan kapsayıcılı Windows tabanlı uygulamaların AD DS korumalı kaynaklara erişmesi gereken senaryolar olabilir. Bu tür işlevler, kimlik doğrulama ve yetkilendirme görevlerini başarıyla tamamlamak için AD DS etki alanı tabanlı kimlik kullanılmasını gerektirir. Bu kimliği uygulamak için Grup Yönetilen Hizmet Hesaplarını (gMSA) kullanabilirsiniz.

Kendi başına kimlik doğrulaması yapabilmesi gereken Windows hizmetleri ve uygulamaları için kimlikleri yönetmeye yönelik geleneksel yöntemle karşılaştırıldığında gMSA, otomatik parola değişiklikleri, basitleştirilmiş kurulum ve bakım ve temsilci yönetimi desteği gibi çeşitli avantajlar sunar.

Podların kimlik doğrulaması için gMSA kullanmasını sağlamak için, podları bir AD DS etki alanına barındıracak tüm Windows Server tabanlı Kubernetes çalışan düğümlerine katılın. Secure Shell (SSH) aracılığıyla her düğüme bağlanıp birleştirme anahtarıyla netdom.exe komut satırı yardımcı programını çalıştırarak etki alanına katılma işlemini gerçekleştirin.

İşlemin geri kalanı, Windows Server çalışan düğümlerini içeren tüm Kubernetes kümelerindekiyle aynıdır ve aşağıdaki üst düzey adımlara sahiptir:

1. AD DS'de bir gMSA sağlama ve bunu Windows Server düğümlerine atama.
2. AD DS gMSA'sını (GMSACredentialSpec) temsil eden özel bir Kubernetes kaynak türü tanımlama.
3. Podlar ve kapsayıcılar için GMSACredentialSpec başvurularını otomatik olarak dolduran ve doğrulayan web kancası tabanlı bir mekanizma yapılandırma.
4. GMSACredentialSpec kaynak türünü temel alan özel bir kaynak oluşturma.
5. GMSACredentialSpec kaynağı için RBAC'yi etkinleştirmek üzere bir küme rolü tanımlama.
6. İlgili GMSACredentialSpec kaynağının kullanımını yetkilendirmek için rolü AD DS gMSA'ya atama.
7. AD DS kimlik doğrulaması için kullanılacak podların tanımına GMSACredentialSpec kaynağına başvuru ekleme.

Dekont

gMSA desteğini etkinleştirmek için Kubernetes kümesinin adı üç karakteri aşamaz. Bu kısıtlama, etki alanına katılmış bir bilgisayar adının 15 karakterlik sınırından kaynaklandı.

Bilgi kontrolü

1.

Contoso'nun Information Security ekibi, Azure Stack HCI üzerinde AKS tarafından barındırılan Windows tabanlı kapsayıcılı iş yüklerinin AD DS tabanlı kimlik doğrulamasını uygulama seçeneklerini araştırmanızı ister. Başlangıç olarak Azure Stack HCI kümenize Windows Server düğümleri içeren bir Kubernetes kümesi dağıtabilirsiniz. Şimdi ne yapmanız gerekir?

Azure Stack HCI kümesini Azure'a kaydetme.

Azure Stack HCI kümesinde CredSSP'yi etkinleştirin.

Kubernetes kümesi Windows Server düğümlerini AD DS etki alanına ekleyin.

Çalışmanızı denetlemeden önce tüm soruları yanıtlamalısınız.

Devam et