Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Nachdem Sie gMSA auf AKS mit dem PowerShell-Modul konfiguriert haben, kann Ihre Anwendung auf Ihren Windows-Knoten auf AKS bereitgestellt werden. Wenn Sie jedoch weiter überprüfen möchten, ob die Konfiguration ordnungsgemäß eingerichtet ist, können Sie die nachstehenden Anweisungen verwenden, um zu bestätigen, ob Die Bereitstellung ordnungsgemäß konfiguriert ist.
Validierung
Das gMSA auf AKS PowerShell-Modul bietet einen Befehl, um zu überprüfen, ob die Einstellungen für Ihre Umgebung ordnungsgemäß konfiguriert sind. Überprüfen Sie, ob die gMSA-Anmeldeinformationsspezifikation mit dem folgenden Befehl funktioniert:
Start-GMSACredentialSpecValidation `
-SpecName $params["gmsa-spec-name"] `
-AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]
Sammeln von gMSA-Protokollen von Ihren Windows Knoten
Mit dem folgenden Befehl können Protokolle aus den Windows-Hosts extrahiert werden:
# Extracts the following logs from each Windows host:
# - kubelet logs.
# - CCG (Container Credential Guard) logs (as a .evtx file).
Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]
Die Protokolle werden von den einzelnen Windows-Hosts in das lokale Verzeichnis $params["logs-directory"]kopiert. Das Protokollverzeichnis verfügt über ein Unterverzeichnis, das nach jedem Windows-Agent-Host benannt ist. Die .evtx-Protokolldatei von CCG (Container Credential Guard) kann in der Ereignisanzeige ordnungsgemäß überprüft werden, erst nachdem die folgenden Anforderungen erfüllt sind:
- Das Windows-Feature "Container" ist installiert. Sie kann über PowerShell mithilfe des folgenden Befehls installiert werden:
# Needs computer restart
Install-WindowsFeature -Name Containers
- Die Protokollmanifestdatei „CCGEvents.man“ wird registriert über:
wevtutil im CCGEvents.man
Anmerkung
Die Protokollierungsmanifestdatei muss von Microsoft bereitgestellt werden.
Einrichten einer Beispielanwendung mit gMSA
Zusätzlich zur Optimierung der Konfiguration von gMSA auf AKS stellt das PowerShell-Modul auch eine Beispielanwendung bereit, die Sie zu Testzwecken verwenden können. Führen Sie zum Installieren der Beispielanwendung Folgendes aus:
Get-GMSASampleApplicationYAML `
-SpecName $params["gmsa-spec-name"] `
-AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -
Überprüfen des AKS-Agentpoolzugriffs auf Azure Key Vault
Ihre AKS-Knotenpools müssen Zugriff auf das Azure Key Vault-Geheimnis haben, um das Konto zu verwenden, das die gMSA in Active Directory abrufen kann. Es ist wichtig, dass Sie diesen Zugriff ordnungsgemäß konfiguriert haben, damit Ihre Knoten mit Ihrem Active Directory-Domänencontroller kommunizieren können. Fehler beim Zugriff auf die geheimen Schlüssel bedeutet, dass Ihre Anwendung nicht authentifiziert werden kann. Auf der anderen Seite möchten Sie möglicherweise sicherstellen, dass kein Zugriff auf Knotenpools gewährt wird, die nicht unbedingt benötigt werden.
Mit dem gMSA auf AKS PowerShell-Modul können Sie überprüfen, welche Knotenpools Zugriff auf welche geheimen Schlüssel im Azure Key Vault haben.
Get-AksAgentPoolsAkvAccess `
-AksResourceGroupName $params["aks-cluster-rg-name"] `
-AksClusterName $params["aks-cluster-name"] `
-VaultResourceGroupNames $params["aks-cluster-rg-name"]
Feedback teilen
Feedback, Fragen und Vorschläge zum gMSA- PowerShell-Modul von AKS finden Sie im Repository Windows Containers auf GitHub.