PowerShell モジュールを使用して gMSA on AKS を検証する

  • [アーティクル]

PowerShell モジュールを使用して gMSA on AKS を構成すると、アプリケーションを AKS 上の Windows ノードにデプロイできるようになります。 ただし、構成が正しくセットアップされていることをさらに検証する場合は、次の手順に従って、デプロイが適切に構成されているかどうかを確認できます。

検証

gMSA on AKS の PowerShell モジュールには、環境の設定が適切に構成されているかどうかを検証するためのコマンドが用意されています。 gMSA 資格情報の仕様が次のコマンドにより機能するかを検証します。

 Start-GMSACredentialSpecValidation `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"]

Windows ノードから gMSA ログを集める

次のコマンドを使用して、Windows ホストからログを抽出できます。

 # Extracts the following logs from each Windows host:
 # - kubelet logs.
 # - CCG (Container Credential Guard) logs (as a .evtx file).
 Copy-WindowsHostsLogs -LogsDirectory $params["logs-directory"]

ログは、各 Windows ホストからローカル ディレクトリ $params["logs-directory"] にコピーされます。 ログ ディレクトリには、各 Windows エージェント ホストに基づいて命名されたサブディレクトリがあります。 CCG (Container Credential Guard) .evtx ログ ファイルをイベント ビューアーで適切に検査するには、次の要件を満たす必要があります。

  • Windows のコンテナー機能がインストールされている。 これは、次のコマンドを使って、PowerShell 経由でインストールすることができます。
# Needs computer restart
Install-WindowsFeature -Name Containers
  • CCGEvents.man ログ マニフェスト ファイルが以下を使用して登録されている。
wevtutil im CCGEvents.man

注意

ログ マニフェスト ファイルは、Microsoft によって提供されている必要があります。

gMSA を使用したサンプル アプリケーションの設定

gMSA on AKS の構成の効率化のほか、PowerShell モジュールには、テスト用に使用できるサンプル アプリケーションが用意されています。 サンプル アプリケーションインストールするには、次のコマンドを実行します。

Get-GMSASampleApplicationYAML `
 -SpecName $params["gmsa-spec-name"] `
 -AksWindowsNodePoolsNames $params["aks-win-node-pools-names"] | kubectl apply -f -

Azure Key Vault への AKS エージェント プール アクセスを検証する

gMSA on Active Directory を取得できるアカウントを使用するためには、AKS ノード プールが Azure Key Vault シークレットにアクセスできる必要があります。 ノードが Active Directory ドメイン コントローラーと通信できるようにするために、このアクセスを正しく構成することが重要です。 シークレットにアクセスできない場合、アプリケーションによる認証が行えないことを意味します。 一方、必ずしもアクセスを必要としないノード プールにアクセス権が付与されないようにしたい場合があります。

gMSA on AKS PowerShell モジュールを使用すると、Azure Key Vault 上でどのノード プールにどのシークレットへのアクセスがあるか確認できます。

Get-AksAgentPoolsAkvAccess `
 -AksResourceGroupName $params["aks-cluster-rg-name"] `
 -AksClusterName $params["aks-cluster-name"] `
 -VaultResourceGroupNames $params["aks-cluster-rg-name"]

モジュールのフィードバック

gMSA on AKS PowerShell モジュールについてフィードバック、ご質問、ご提案がある場合は、GitHub の Windows コンテナー リポジトリにアクセスしてください。