Usare l'identità gestita con Bridge a Kubernetes

Articolo
10/25/2024

Nota

Microsoft prevede di non gestire più attivamente il progetto Bridge to Kubernetes. Nei prossimi mesi il progetto verrà passato a uno stato di archiviazione. Nel frattempo, il progetto è ancora disponibile per l'uso e il download. Durante questo periodo, ci auguriamo di esplorare e consigliare progetti della community che offrono vantaggi simili a Bridge to Kubernetes per l'uso futuro. In caso di domande, contattare Microsoft nella bacheca dei problemi in GitHub.

Se il cluster del servizio Azure Kubernetes usa funzionalità di sicurezza delle identità gestite per proteggere l'accesso ai segreti e alle risorse, Bridge to Kubernetes richiede una configurazione speciale per assicurarsi che possa funzionare con queste funzionalità. È necessario scaricare un token Microsoft Entra nel computer locale per assicurarsi che l'esecuzione locale e il debug siano protetti correttamente e che questa operazione richieda una configurazione speciale in Bridge to Kubernetes. Questo articolo illustra come configurare Bridge in Kubernetes per l'uso con i servizi che usano l'identità gestita.

Come configurare il servizio per l'uso dell'identità gestita

Per abilitare un computer locale con supporto per l'identità gestita, nella sezione aggiungere ManagedIdentitynel file enableFeatures KubernetesLocalConfig.yaml . Aggiungere la enableFeatures sezione se non è già presente.

enableFeatures:
  - ManagedIdentity

Avviso

Assicurarsi di usare l'identità gestita solo per Bridge to Kubernetes quando si usano cluster di sviluppo, non cluster di produzione, perché il token Microsoft Entra viene recuperato nel computer locale, che presenta un potenziale rischio per la sicurezza.

Se non si ha un file KubernetesLocalConfig.yaml , è possibile crearne uno. Vedere Procedura: Configurare bridge in Kubernetes.

Come recuperare i token di Microsoft Entra

È necessario assicurarsi di basarsi su Azure.Identity.DefaultAzureCredential o Azure.Identity.ManagedIdentityCredential nel codice durante il recupero del token.

Il codice C# seguente illustra come recuperare le credenziali dell'account di archiviazione quando si usa ManagedIdentityCredential:

var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Il codice seguente illustra come recuperare le credenziali dell'account di archiviazione quando si usa DefaultAzureCredential:

var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

Per informazioni su come accedere ad altre risorse di Azure usando l'identità gestita, vedere la sezione Passaggi successivi .

Ricevere avvisi di Azure quando vengono scaricati i token

Ogni volta che si usa Bridge per Kubernetes in un servizio, il token Microsoft Entra viene scaricato nel computer locale. È possibile abilitare gli avvisi di Azure per ricevere una notifica quando si verifica questa situazione. Per informazioni, vedere Abilitare Azure Defender. Tenere presente che è previsto un addebito (dopo un periodo di valutazione di 30 giorni).

Passaggi successivi

Dopo aver configurato Bridge per Kubernetes per lavorare con il cluster del servizio Azure Kubernetes che usa l'identità gestita, è possibile eseguire il debug come di consueto. Vedere [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service].

Per altre informazioni sull'uso dell'identificazione gestita per accedere alle risorse di Azure, seguire queste esercitazioni:

In questa sezione sono disponibili altre esercitazioni per l'uso dell'identità gestita per accedere ad altre risorse di Azure.

Vedi anche

Microsoft Entra ID

Condividi tramite