Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gruppenverwaltete Dienstkonten (Group Managed Service, gMSA) können auf Azure Kubernetes Service (AKS) verwendet werden, um Anwendungen zu unterstützen, die Active Directory für Authentifizierungszwecke erfordern. Die Konfiguration von gMSA auf AKS erfordert, dass Sie die folgenden Dienste und Einstellungen ordnungsgemäß einrichten: AKS, Azure Key Vault, Active Directory, Anmeldeinformationsspezifikationen usw. Um diesen Prozess zu optimieren, können Sie das powerShell-Modul unten verwenden. Dieses Modul wurde maßgeschneidert, um den Prozess der Konfiguration von gMSA auf AKS zu vereinfachen, indem die Komplexität der Einrichtung verschiedener Dienste entfernt wurde.
Umgebungsanforderungen
Um gMSA auf AKS bereitzustellen, benötigen Sie Folgendes:
- Ein AKS-Cluster mit Windows-Knoten, das in Betrieb ist. Wenn Sie keinen AKS-Cluster bereit haben, lesen Sie die Azure Kubernetes Service-Dokumentation.
- Ihr Cluster muss für die gMSA auf AKS autorisiert sein. Weitere Informationen finden Sie unter Aktivieren von Gruppenverwalteten Dienstkonten (Group Managed Service Accounts, GMSA) für Ihre Windows Server-Knoten auf Ihrem Azure Kubernetes Service (AKS)-Cluster.
- Eine Active Directory-Umgebung, die ordnungsgemäß für gMSA konfiguriert ist. Details zum Konfigurieren Ihrer Domäne finden Sie unten.
- Ihre Windows-Knoten auf AKS müssen in der Lage sein, eine Verbindung mit Ihren Active Directory-Domänencontrollern herzustellen.
- Active Directory-Domänenanmeldeinformationen mit delegierter Autorisierung zum Einrichten der gMSA und eines Standarddomänenbenutzers. Diese Aufgabe kann an autorisierte Personen delegiert werden (falls erforderlich).
Installieren des gMSA im AKS PowerShell-Modul
Laden Sie zunächst das PowerShell-Modul aus der PowerShell Gallery herunter.
Install-Module -Name AksGMSA -Repository PSGallery -Force
Anmerkung
Das gMSA auf AKS PowerShell-Modul wird ständig aktualisiert. Wenn Sie die Schritte in diesem Lernprogramm bereits ausgeführt haben und jetzt neue Konfigurationen überprüfen, stellen Sie sicher, dass Sie das Modul auf die neueste Version aktualisieren. Weitere Informationen zum Modul finden Sie auf der PowerShell-Katalogseite.
Modulanforderungen
Das gMSA auf AKS PowerShell-Modul basiert auf verschiedenen Modulen und Tools. Um diese Anforderungen zu installieren, führen Sie Folgendes in einer Sitzung mit erhöhten Rechten aus:
Install-ToolingRequirements
Melden Sie sich mit Ihren Azure-Anmeldeinformationen an
Sie müssen mit Ihren Anmeldeinformationen für das gMSA in AKS PowerShell-Modul bei Azure angemeldet sein, um Ihren AKS-Cluster ordnungsgemäß zu konfigurieren. Führen Sie Folgendes aus, um sich über PowerShell bei Azure anzumelden:
Connect-AzAccount -DeviceCode -Subscription "<SUBSCRIPTION_ID>"
Sie müssen sich auch mit der Azure CLI anmelden, da das PowerShell-Modul dies auch im Hintergrund verwendet:
az login --use-device-code
az account set --subscription "<SUBSCRIPTION_ID>"
Einrichten der erforderlichen Eingaben für gMSA im AKS-Modul
Während der konfiguration von gMSA auf AKS sind viele Eingaben erforderlich, z. B.: Ihr AKS-Clustername, Azure Resource Group Name, Region zur Bereitstellung der erforderlichen Ressourcen, Active Directory-Domänenname und vieles mehr. Um den folgenden Prozess zu optimieren, haben wir einen Eingabebefehl erstellt, mit dem alle erforderlichen Werte gesammelt und in einer Variablen gespeichert werden, die dann in den folgenden Befehlen verwendet wird.
Führen Sie zunächst Folgendes aus:
$params = Get-AksGMSAParameters
Geben Sie nach dem Ausführen des Befehls die erforderlichen Eingaben ein, bis der Befehl abgeschlossen ist. Ab jetzt können Sie einfach die Befehle kopieren und einfügen, wie auf dieser Seite gezeigt.
Herstellen einer Verbindung mit Ihrem AKS-Cluster
Während Sie das gMSA auf AKS PowerShell-Modul verwenden, stellen Sie eine Verbindung mit dem AKS-Cluster her, den Sie konfigurieren möchten. Das gMSA auf AKs PowerShell-Modul basiert auf der Kubectl-Verbindung. Führen Sie folgendes aus, um den Cluster zu verbinden: (Beachten Sie, dass Sie die oben angegebenen Eingaben einfach kopieren und in Ihre PowerShell-Sitzung einfügen können).
Import-AzAksCredential -Force `
-ResourceGroupName $params["aks-cluster-rg-name"] `
-Name $params["aks-cluster-name"]