次の方法で共有

PowerShell モジュールを使用して AKS で gMSA を検証する

PowerShell モジュールを使用して AKS で gMSA を構成すると、アプリケーションを AKS 上の Windows ノードにデプロイする準備が整います。 ただし、構成が正しく設定されていることをさらに検証する場合は、次の手順に従って、デプロイが適切に構成されているかどうかを確認できます。

検証

AKS PowerShell モジュールの gMSA には、環境の設定が適切に構成されているかどうかを検証するコマンドが用意されています。 gMSA 資格情報仕様が次のコマンドで動作することを検証します。

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Windows ノードから gMSA ログを収集する

次のコマンドを使用して、Windows ホストからログを抽出できます。

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

各 Windows ホストからローカル ディレクトリ $params["logs-directory"]にログがコピーされます。 ログ ディレクトリには、各 Windows エージェント ホストの後に名前が付けられたサブディレクトリがあります。 CCG (Container Credential Guard) .evtx ログ ファイルは、次の要件が満たされた後にのみ、イベント ビューアーで適切に検査できます。

  • コンテナー Windows 機能がインストールされています。 次のコマンドを使用して、PowerShell を使用してインストールできます。
# Needs computer restart
Install-WindowsFeature -Name Containers
  • CCGEvents.man ログ マニフェスト ファイルは、次の方法で登録されます。
wevtutil im CCGEvents.man

手記

ログ マニフェスト ファイルは、Microsoft によって提供される必要があります。

gMSA を使用してサンプル アプリケーションをセットアップする

PowerShell モジュールには、AKS での gMSA の構成の合理化に加えて、テスト目的で使用できるサンプル アプリケーションも用意されています。 サンプル アプリケーションをインストールするには、次のコマンドを実行します。

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Azure Key Vault への AKS エージェント プールのアクセスを検証する

Active Directory で gMSA を取得できるアカウントを使用するには、AKS ノード プールが Azure Key Vault シークレットにアクセスできる必要があります。 ノードが Active Directory ドメイン コントローラーと通信できるように、このアクセスを正しく構成することが重要です。 シークレットにアクセスできない場合は、アプリケーションが認証できないことを意味します。 一方、必ずしも必要ではないノード プールへのアクセス権が付与されないようにする必要がある場合があります。

AKS PowerShell モジュールの gMSA を使用すると、Azure Key Vault 上のシークレットにアクセスできるノード プールを検証できます。

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

フィードバックを共有する

AKS PowerShell モジュールの gMSA に関するフィードバック、質問、提案については、GitHub Windows コンテナー リポジトリを参照してください。

  • Last updated on