Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una vez configurado gMSA en AKS con el módulo de PowerShell, la aplicación está lista para implementarse en los nodos de Windows en AKS. Sin embargo, si desea validar aún más que la configuración está configurada correctamente, puede usar las instrucciones siguientes para confirmar si la implementación está configurada correctamente.
Validación
El módulo gMSA en AKS PowerShell proporciona un comando para validar si la configuración del entorno está configurada correctamente. Compruebe que la especificación de credenciales de gMSA funciona con el siguiente comando:
Start-GMSACredentialSpecValidation `
-SpecName $params["gmsa-spec-name"] `
-AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]
Recopilación de registros de gMSA de los nodos de Windows
El comando siguiente se puede usar para extraer registros de los hosts de Windows:
# Extracts the following logs from each Windows host:
# - kubelet logs.
# - CCG (Container Credential Guard) logs (as a .evtx file).
Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]
Los registros se copiarán de cada host de Windows en el directorio local $params["logs-directory"]. El directorio de registros tendrá un subdirectorio denominado después de cada host del agente de Windows. El archivo de registro .evtx de CCG (Container Credential Guard) se puede inspeccionar correctamente en el Visor de eventos, solo después de cumplir los siguientes requisitos:
- La característica Contenedores de Windows está instalada. Se puede instalar a través de PowerShell mediante el siguiente comando:
# Needs computer restart
Install-WindowsFeature -Name Containers
- El archivo de manifiesto de registro CCGEvents.man se registra mediante lo siguiente:
wevtutil im CCGEvents.man
Nota
Microsoft debe proporcionar el archivo de manifiesto de registro.
Configuración de una aplicación de ejemplo mediante gMSA
Además de simplificar la configuración de gMSA en AKS, el módulo de PowerShell también proporciona una aplicación de ejemplo que puede usar con fines de prueba. Para instalar la aplicación de ejemplo, ejecute lo siguiente:
Get-GMSASampleApplicationYAML `
-SpecName $params["gmsa-spec-name"] `
-AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -
Validación del acceso del grupo de agentes de AKS a Azure Key Vault
Los grupos de nodos de AKS deben poder acceder al secreto de Azure Key Vault para poder usar la cuenta que puede recuperar la gMSA en Active Directory. Es importante que haya configurado este acceso correctamente para que los nodos puedan comunicarse con el controlador de dominio de Active Directory. No acceder a los secretos significa que la aplicación no podrá autenticarse. Por otro lado, es posible que quiera asegurarse de que no se proporciona acceso a los grupos de nodos que no lo necesiten necesariamente.
El módulo gMSA en AKS PowerShell permite validar qué grupos de nodos tienen acceso a qué secretos de Azure Key Vault.
Get-AksAgentPoolsAkvAccess `
-AksResourceGroupName $params["aks-cluster-rg-name"] `
-AksClusterName $params["aks-cluster-name"] `
-VaultResourceGroupNames $params["aks-cluster-rg-name"]
Compartir comentarios
Para obtener comentarios, preguntas y sugerencias sobre la gMSA en el módulo de PowerShell en AKS, visite el repositorio de contenedores de Windows en GitHub.