Esegui il deployment delle app ASP.NET con l'autenticazione di Windows nei container GKE Windows


Questo tutorial mostra come creare un'applicazione web ASP.NET che utilizza IIS con Integrated Windows Authentication e come eseguirne il deployment utilizzando un contenitore Windows in un cluster Google Kubernetes Engine (GKE) con nodi Windows Server che hanno aderito al dominio. Questa configurazione è utile per eseguire il deployment di applicazioni ASP.NET in container Windows su Google Cloud in modo che possano autenticarsi in altre risorse Windows. La mostra anche come creare un account di servizio gestito (gMSA) di gruppo Active Directory e come configurare il deployment dell'applicazione web per l'uso da parte di GKE.

Questo tutorial è rivolto agli amministratori di sistema. Si presume che tu abbia familiarità con Active Directory e avere esperienza nel lavorare con Google Kubernetes Engine (GKE).

Obiettivi

  • Crea un cluster GKE unito a un dominio Nodi Windows Server e configurare il cluster in modo che supporti Active Directory gMSA.
  • Crea ed esegui il deployment di un'immagine container dell'applicazione web ASP.NET che utilizza IIS con l'autenticazione Windows integrata.

Costi

In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi basata sull'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud potrebbero essere idonei per una prova gratuita.

Prima di iniziare

  1. Segui i passaggi nella Configurare Active Directory per fare in modo che le VM vengano aggiunte automaticamente a un dominio tutorial per creare il join con un dominio Active Directory dal servizio Cloud Run.

  2. Se stai eseguendo questo tutorial in un progetto Google Cloud diverso da quello in cui hai creato una VM per testare l'unione automatica al dominio, segui i passaggi per abilitare un progetto per l'unione automatica al dominio nel tuo progetto Google Cloud.

    Al termine dell'altro tutorial, avrai un nuovo servizio Cloud Run e il relativo URL verrà stampato nella finestra PowerShell (il valore della variabile $RegisterUrl). Prendi nota dell'indirizzo perché lo usi in questo tutorial.

  3. Assicurati di aver abilitato le API per Compute Engine, GKE, Cloud Build, Artifact Registry e API Cloud Resource Manager:

    Abilita le API

    Al termine di questo tutorial, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la sezione Pulizia.

Architettura

Le applicazioni basate su Windows che vengono eseguite in un server Windows Server aggiunto a un dominio spesso utilizzano le identità di Microsoft Active Directory (AD) per autenticare gli utenti e le applicazioni. Ecco alcuni casi d'uso comuni:

  • Creazione di applicazioni web ASP.NET che utilizzano l'autenticazione Windows integrata per autenticare gli utenti di Active Directory quando tentano di accedere all' applicazione web.
  • Creazione di applicazioni che utilizzano l'account computer Active Directory del server per accedere alle risorse tramite la rete, ad esempio una condivisione SMB remota o un'istanza Microsoft SQL Server remota.

I contenitori Windows non possono essere aggiunti a un dominio e, pertanto, non dispongono di account computer in Active Directory. Per questo motivo, le applicazioni web ASP.NET che eseguono nei container Windows non possono autenticare gli utenti di Active Directory è stata eseguita l'autenticazione Windows integrata, pertanto non è possibile accedere a risorse protette nella rete. Per ulteriori informazioni su come ASP.NET accede alle risorse protette, consulta Identità del pool di applicazioni nella documentazione Microsoft.

Anziché utilizzare un account computer, i container Windows possono utilizzare un Identità dell'account di servizio gestito (gMSA) del gruppo di directory per accedere ad Attivo Directory e altre risorse protette nella rete, come condivisioni di file e di SQL Server. Per ulteriori informazioni, vedi Panoramica degli account di servizio gestiti da gruppo nella documentazione Microsoft.

Il seguente diagramma dell'architettura mostra le risorse utilizzate in tutorial:

Container Windows Server aggiunti al dominio Active Domain su GKE.

Il diagramma mostra i seguenti elementi:

  • VM di sviluppo. In questo tutorial crei una VM Windows Server che utilizzerai per compilare l'immagine del contenitore dell'applicazione web ASP.NET e per creare il gMSA.
  • Cluster e nodi GKE. Il cluster GKE in questo tutorial ha sia un pool di nodi Linux sia un pool di nodi Windows Server che vengono utilizzati nei seguenti modi:
    • I nodi Linux eseguono componenti di sistema che funzionano solo sui sistemi operativi Linux, come il server delle metriche GKE.
    • I nodi Windows Server vengono utilizzati per ospitare i container Windows Server e sono uniti a un dominio Active Directory.
  • Infrastruttura Active Directory. Per consentire l'unione al dominio dei nodi Windows GKE, devi prima eseguire il tutorial sulla configurazione di Active Directory per consentire alle VM di partecipare automaticamente a un dominio. In questo tutorial, crei un servizio Cloud Run responsabile della registrazione di nuovi computer (istanze) in Active Directory e fornisci a ogni nuova istanza una password temporanea che l'istanza utilizza per completare la procedura di adesione al dominio. Ogni nuova istanza in Windows Il pool di nodi server chiama il servizio Cloud Run per unirsi alla Dominio Active Directory.
  • Bilanciatore del carico di rete. Quando un utente on-premise apre il browser. e passa all'applicazione web ASP.NET, il traffico passa attraverso una il bilanciatore del carico di rete. Il bilanciatore del carico viene creato da GKE quando crei un servizio LoadBalancer GKE per la tua applicazione web. L'utente si autentica anche all'applicazione web passando le proprie credenziali di Active Directory all'applicazione web.

Creazione dell'infrastruttura

Dopo aver completato il tutorial correlato, creerai l'infrastruttura per il tutorial corrente, che include quanto segue:

  • Una VM Windows Server con un'immagine container dell'applicazione web ASP.NET.
  • Un cluster GKE con un pool di nodi Windows Server.
  • Regole firewall che consentono ai pod GKE di accedere ad Active Directory.
  • Un webhook nel cluster GKE che gestisce la configurazione e l'inserimento delle risorse gMSA nei deployment.

Crea una VM di sviluppo

L'immagine container Windows Server che crei deve corrispondere alla versione di Windows Server della VM in cui viene creata l'immagine container. Questa versione deve corrispondono anche alla versione Windows Server della tua finestra GKE Nodi server. Creazione di un'immagine container o esecuzione di un container in di Windows Server restituisce un errore. Per ulteriori informazioni sui requisiti di compatibilità dei container Windows, consulta Abbinare la versione dell'host del contenitore alle versioni delle immagini del contenitore.

Questo tutorial utilizza la versione 2022 del Long-Term Servicing Channel (LTSC) di Windows Server per la VM, i nodi Windows Server in GKE e l'immagine del contenitore. Per ulteriori informazioni, vedi mappatura delle versioni tra le versioni di Windows Server e le versioni GKE.

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Se PowerShell è aperto, chiudilo digitando exit.
  3. Imposta le variabili di ambiente per il nome della rete e della sottorete e per l'URL del servizio Active Directory:

    export NETWORK_NAME=NETWORK-NAME
    export SUBNETWORK_NAME=SUBNETWORK-NAME
    export AD_JOIN_SERVICE_URL=AD-JOIN-SERVICE-URL
    

    Sostituisci quanto segue:

    • NETWORK-NAME: la rete VPC in cui eseguire il deployment delle VM.
    • SUBNETWORK-NAME: la subnet in cui eseguire il deployment delle VM.
    • AD-JOIN-SERVICE-URL: l'URL del servizio Cloud Run di cui hai eseguito il deployment nella sezione Prima di iniziare.
  4. Imposta l'ID progetto e la regione Google Cloud per l'ambiente corrente:

    gcloud config set project PROJECT-ID
    gcloud config set compute/zone ZONE-NAME
    

    Sostituisci quanto segue:

    • PROJECT-ID: l'ID del tuo progetto Google Cloud.
    • ZONE-NAME: la zona in cui eseguire il deployment di tutte le VM. Per ridurre latenza, ti consigliamo di selezionare una zona nella stessa regione in cui hai eseguito il deployment del servizio Cloud Run aggiunto al dominio Active Directory.
  5. Crea un account di servizio per la VM di sviluppo:

    export SERVICE_ACCOUNT_NAME=dev-vm
    export SERVICE_ACCOUNT_EMAIL=$SERVICE_ACCOUNT_NAME@$GOOGLE_CLOUD_PROJECT.iam.gserviceaccount.com
    
    gcloud iam service-accounts create $SERVICE_ACCOUNT_NAME \
        --display-name="Development VM Service Account"
    
  6. Concedi all'account di servizio l'accesso ad Artifact Registry:

    gcloud projects add-iam-policy-binding $GOOGLE_CLOUD_PROJECT \
        --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" \
        --role="roles/artifactregistry.writer"
    
  7. Concedi all'account di servizio l'accesso a GKE:

    gcloud projects add-iam-policy-binding $GOOGLE_CLOUD_PROJECT \
        --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" \
        --role="roles/container.admin"
    

    All'account di servizio viene concesso il ruolo container.admin perché dispone delle autorizzazioni necessarie per creare cluster GKE in del progetto e di gestire le risorse nei cluster, incluse quelle basate di controllo dell'accesso (RBAC). Le risorse RBAC sono necessarie per controllare quale pod è autorizzato a usare un gMSA.

  8. Crea una nuova VM Windows Server 2022:

    gcloud compute instances create gmsa-dev-vm \
        --image-project windows-cloud \
        --image-family windows-2022-core \
        --machine-type n1-standard-2 \
        --boot-disk-type=pd-ssd \
        --boot-disk-size=100GB \
        --network $NETWORK_NAME \
        --subnet $SUBNETWORK_NAME \
        --service-account=$SERVICE_ACCOUNT_EMAIL \
        --scopes https://www.googleapis.com/auth/cloud-platform \
        --metadata sysprep-specialize-script-ps1="iex((New-Object System.Net.WebClient).DownloadString('$AD_JOIN_SERVICE_URL')); Add-WindowsFeature RSAT-AD-PowerShell"
    

    Se prevedi di eseguire il deployment delle applicazioni containerizzate su Windows Server 2019 dei container, modifica il valore parametro --image-family in windows-2019-core-for-containers.

    L'ambito https://www.googleapis.com/auth/cloud-platform consente all'istanza di accedere a tutte le API Google Cloud, a seconda dei ruoli IAM definiti per l'account di servizio dell'istanza.

    La VM viene creata con un indirizzo IP esterno per consentirle di comunicare con internet. È necessaria la VM accesso a internet in modo da poter scaricare diverse utilità, git e kubectl, e scaricare l'applicazione web ASP.NET da GitHub.

    Durante la fase sysprep, la nuova istanza viene unita al dominio Active Directory per consentirti di accedere da remoto all'istanza utilizzando il tuo account di dominio. Lo script nel comando sysprep installa anche Modulo PowerShell per Active Directory.

Crea un repository Docker Artifact Registry

  1. In Cloud Shell, imposta la località predefinita per il nuovo Repository Artifact Registry:

    gcloud config set artifacts/location LOCATION
    

    Sostituisci LOCATION con una regione in cui vuoi creare il repository Artifact Registry. Per ridurre latenza, ti consigliamo di selezionare la stessa regione in cui hai eseguito il deployment la VM di sviluppo.

  2. Crea il repository Docker di Artifact Registry:

    gcloud artifacts repositories create windows-container-images \
        --repository-format=docker
    

Crea un cluster GKE

  1. In Cloud Shell, imposta una variabile di ambiente per il nome del cluster GKE:

    export GKE_CLUSTER_NAME=cluster-1
    
  2. Crea il cluster GKE:

    gcloud container clusters create $GKE_CLUSTER_NAME \
        --release-channel rapid \
        --network $NETWORK_NAME \
        --subnetwork $SUBNETWORK_NAME \
        --enable-ip-alias
    

    L'impostazione del parametro Parametro --release-channel in rapid esegue il deployment del cluster GKE con la versione di Kubernetes. Il parametro --enable-ip-alias viene attivato IP alias. L'IP alias è obbligatorio per i nodi Windows Server.

Crea un pool di nodi Windows Server in GKE

Quando crei un nuovo cluster GKE tramite l'interfaccia a riga di comando, viene creato con un pool di nodi Linux. Per utilizzare Windows Server su GKE, crea un pool di nodi Windows Server.

I cluster GKE devono avere almeno un nodo Linux per eseguire container interni (di sistema) del cluster. Un cluster GKE non può essere creato solo con nodi Windows Server.

  1. In Cloud Shell, imposta una variabile di ambiente per il nome del pool di nodi del server Windows:

    export NODE_POOL_NAME=windows-server-pool
    
  2. Crea un pool di nodi GKE Windows Server:

    gcloud container node-pools create $NODE_POOL_NAME \
        --cluster $GKE_CLUSTER_NAME \
        --machine-type n1-standard-2 \
        --image-type WINDOWS_LTSC_CONTAINERD \
        --windows-os-version=ltsc2022 \
        --num-nodes 2 \
        --no-enable-autoupgrade \
        --metadata sysprep-specialize-script-ps1="iex((New-Object System.Net.WebClient).DownloadString('$AD_JOIN_SERVICE_URL'))"
    

    Se prevedi di eseguire il deployment delle applicazioni containerizzate su Windows Server 2019 dei container, modifica il parametro --windows-os-version in ltsc2019.

    La chiave dei metadati sysprep-specialize-script-ps1 è un chiave integrata che punta a uno script PowerShell che viene eseguito durante GCESysprep prima del primo avvio dell'istanza.

    Il cmdlet iex scarica lo script PowerShell dal servizio di unione al dominio Active Directory che hai disegnato su Cloud Run. Poi esegue lo script che unisce la nuova istanza al dominio Active Directory.

    Il parametro --no-enable-autoupgrade disattiva l'upgrade automatico dei nodi per tutti i nodi del pool. Questo perché l'upgrade delle risorse Windows l'immagine può causare incompatibilità tra la versione di Windows Server del nodo e la versione di Windows Server del pod. Per ulteriori informazioni, consulta Eseguire l'upgrade dei pool di nodi Windows Server.

    Dopo la creazione di ciascun nodo, lo script PowerShell domain-join si unisce il nodo al dominio.

  3. Attendi alcuni minuti fino alla creazione del pool di nodi, quindi esegui il seguente comando per verificare che tutti i nodi si siano uniti al dominio:

    kubectl get node \
    -l cloud.google.com/gke-nodepool=$NODE_POOL_NAME \
    -o custom-columns=":metadata.name" --no-headers \
        | xargs -I{} gcloud compute instances get-serial-port-output {} --port 1 \
        | grep "sysprep-specialize-script-ps1:.*success" --ignore-case
    

    Se i nodi sono stati uniti al dominio, l'output è il seguente:

    timestamp GCEMetadataScripts: sysprep-specialize-script-ps1: Successfully registered computer account.
    timestamp GCEMetadataScripts: sysprep-specialize-script-ps1: Computer successfully joined to domain
    
    Specify --start=152874 in the next get-serial-port-output invocation to get only the new output starting from here.
    

    Se vuoi visualizzare l'output completo dello script, rimuovi .*success dal comando grep.

Concedi ai pod GKE l'accesso ad Active Directory

Devi creare una regola firewall che permetta l'accesso a GKE del cluster per accedere ai controller di dominio utilizzando quanto segue protocolli:

  • Kerberos (UDP/88, TCP/88)
  • NTP (UDP/123)
  • RPC (TCP/135, TCP/49152-65535)
  • LDAP (UDP/389, TCP/389)
  • SMB (UDP/445, TCP/445)
  • Gruppo di condivisioni LDAP (TCP/3268)
  • Servizi web Active Directory (TCP/9389)

Puoi applicare la regola in base a un account di servizio che hai assegnato controller di dominio oppure applicarlo utilizzando un tag di rete così com'è in questo tutorial. Per scoprire di più sulle porte correlate ad Active Directory, consulta la documentazione relativa ai requisiti delle porte e dei protocolli di Active Directory e all'utilizzo di Active Directory su firewall.

Se utilizzi Servizio gestito per Microsoft Active Directory (Microsoft AD gestito), puoi saltare questa procedura.

  1. In Cloud Shell, recupera il pod del cluster GKE Intervallo di indirizzi IP:

    CLUSTER_IP_RANGE=`gcloud container clusters describe $GKE_CLUSTER_NAME --format="value(clusterIpv4Cidr)"`
    
  2. crea una regola firewall per concedere l'accesso ai pod GKE in Active Directory:

    gcloud compute firewall-rules create allow-gke-pods-to-ad \
        --network $NETWORK_NAME \
        --allow udp:88,tcp:88,udp:123,tcp:135,tcp:49152-65535,udp:389,tcp:389,udp:445,tcp:445,tcp:3268,tcp:9389 \
        --source-ranges=$CLUSTER_IP_RANGE \
        --target-tags DC-TAG
    

    Sostituisci DC-TAG con il tag di rete assegnato alle VM dei controller di dominio.

Configura GKE per supportare l'utilizzo di gMSA

Per utilizzare un gMSA nei nodi Windows Server, devi creare l'oggetto gMSA in Active Directory, creare una risorsa gMSA corrispondente in GKE e consentire ai pod appena creati di recuperare le credenziali gMSA.

  1. In Cloud Shell, scarica ed esegui lo script webhook gMSA:

    export K8S_GMSA_DEPLOY_DOWNLOAD_REV=b685a27adc40511bb5756dfb3ada2e8578ee72e1
    curl https://raw.githubusercontent.com/kubernetes-sigs/windows-gmsa/$K8S_GMSA_DEPLOY_DOWNLOAD_REV/admission-webhook/deploy/deploy-gmsa-webhook.sh -o deploy-gmsa-webhook.sh && chmod +x deploy-gmsa-webhook.sh
    
    ./deploy-gmsa-webhook.sh --file ./gmsa-webhook.yml --namespace gmsa-webhook --overwrite
    rm -drf gmsa-webhook-certs
    

    Lo script aggiunge il gMSA definizione di risorsa personalizzata (CRD) al tuo cluster GKE ed esegue il deployment webhook che fornisce le specifiche gMSA ai pod. Ora puoi archiviare specifiche gMSA nel cluster e configurare gMSA per pod containerizzati.

    Per saperne di più su Kubernetes e gMSA, consulta Configurare GMSA per pod e container Windows.

Il tuo cluster GKE è ora pronto per eseguire le applicazioni Windows che richiedono l'utilizzo di un gMSA. Ad esempio, puoi eseguire un'istanza web ASP.NET nei nodi di Windows Server. Puoi configurare l'applicazione consentire agli utenti di eseguire l'pod con l'autenticazione Windows o fare in modo che l'applicazione utilizzi gMSA per accedere a una condivisione di rete remota o a un database SQL Server.

Integrazione con Active Directory

Successivamente, crea un account gMSA per la tua applicazione web ASP.NET in Active Directory, configura come può essere utilizzato e da chi, quindi aggiungi la relativa configurazione a GKE.

Accedi e avvia PowerShell

  1. Connettiti alla VM gmsa-dev-vm.
  2. Accedi a Windows utilizzando un account Active Directory autorizzato a creare un gMSA.

    Il tuo account deve essere membro del gruppo Domain Admins o deve essere in grado di creare msDS-GroupManagedServiceAccount oggetti. Per maggiori informazioni le informazioni, vedi Provisioning degli account di servizio gestiti di gruppo.

    Se utilizzi AD Microsoft gestito, il tuo account deve essere membro del gruppo Cloud Service Managed Service Account Administrators. Per ulteriori informazioni, vedi Delegare l'amministrazione degli account di servizio gestiti.

  3. Digita 15 per uscire dal menu e passare alla riga di comando (PowerShell).

Installa un runtime del contenitore

Windows Server 2022 richiede un runtime del contenitore, come Docker Community Edition (CE), per creare ed eseguire i contenitori Windows. Per ulteriori informazioni sull'installazione di un runtime del contenitore su Windows Server, consulta Guida introduttiva: prepara Windows per i container nella documentazione Microsoft.

Se hai creato la VM di sviluppo utilizzando l'immagine windows-2019-core-for-containers, puoi saltare la procedura seguente perché l'immagine ha già Docker installato.

  1. Installa Docker Community Edition (CE):

    Invoke-WebRequest -UseBasicParsing -o install-docker-ce.ps1 `
       "https://raw.githubusercontent.com/microsoft/Windows-Containers/Main/helpful_tools/Install-DockerCE/install-docker-ce.ps1"
    .\install-docker-ce.ps1
    

    Se durante la procedura di installazione la connessione del desktop remoto si chiude, ricollegati alla VM.

  2. Attendi il completamento del processo di installazione, quindi digita exit per chiudere la nuova finestra PowerShell.

  3. Digita 15 per uscire dal menu e passare alla riga di comando (PowerShell).

Crea una chiave principale KDS

Prima di creare un gMSA, devi assicurarti che il dominio Active Directory ha un Chiave principale KDS (Key Distribution Services). Active Directory utilizza la chiave principale KDS per generare le password per le gMSA.

Se utilizzi Microsoft AD gestito, puoi saltare la procedura riportata di seguito perché Microsoft AD gestito crea la chiave principale KDS quando crei il dominio.

  1. Su gmsa-dev-vm, controlla se Active Directory dispone già della chiave principale KDS:

    Get-KdsRootKey
    

    Questo comando mostra l'ID chiave, se esistente.

  2. Se non ricevi un ID chiave in risposta, crea la chiave:

    Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
    

Crea il gMSA

Quando crei un gruppo di membri gestito Google, devi fornire i nomi dei computer che hanno accesso al gruppo di membri gestito Google. Come best practice per la sicurezza, dovresti concedere l'autorizzazione per il gMSA solo per le istanze in cui è in esecuzione l'applicazione. Quando crei un pool di nodi Windows Server aggiunto a un dominio, viene creato un nuovo gruppo Active Directory per i computer del pool di nodi. Il nome del gruppo corrisponde al nome del gruppo di istanze gestite (MIG) creato da GKE per il pool di nodi.

  1. In PowerShell, imposta le variabili per l'ID progetto Google Cloud, il cluster nome del pool di nodi, il nome del pool di nodi Windows, il nome gMSA e il nome di dominio AD:

    $ProjectId = "PROJECT-ID"
    $GkeClusterName = "cluster-1"
    $PermittedNodePool = "windows-server-pool"
    $GmsaName = "WebApp-01"
    $AdDomain = (Get-ADDomain).DNSRoot
    

    Sostituisci PROJECT-ID con l'ID del tuo progetto Google Cloud.

  2. Imposta la configurazione del cluster per lo strumento gcloud:

    gcloud config set project $ProjectId
    gcloud config set compute/zone "ZONE-NAME"
    

    Sostituisci ZONE-NAME con la zona in cui hai eseguito il deployment cluster GKE.

  3. Recupera il nome di dominio del gruppo Active Directory creato per il pool di nodi:

    $InstanceGroupUri = gcloud container node-pools describe $PermittedNodePool `
        --cluster $GkeClusterName `
        --format="value(instanceGroupUrls)"
    $InstanceGroupName=([System.Uri]$instanceGroupUri).Segments[-1]
    $GroupDN=(Get-ADGroup -Filter "name -eq '$InstanceGroupName'")
    
    Write-Host $GroupDN.DistinguishedName
    
  4. Crea il gMSA:

    New-ADServiceAccount -Name $GmsaName `
    -DNSHostName "$GmsaName.$AdDomain" `
    -PrincipalsAllowedToRetrieveManagedPassword $GroupDN
    
  5. Verifica che il gruppo di risorse gestite generiche sia stato creato:

    Get-ADServiceAccount -Identity $GmsaName
    

    Se è stato creato il gMSA, l'output è simile al seguente:

    DistinguishedName : CN=WebApp01,CN=Managed Service Accounts,DC=corp,DC=example,DC=com
    Enabled           : True
    Name              : WebApp01
    ObjectClass       : msDS-GroupManagedServiceAccount
    ObjectGUID        : 5afcff45-cf15-467d-aaeb-d65e53288253
    SamAccountName    : WebApp01$
    SID               : S-1-5-21-780151012-601164977-3226406772-2103
    UserPrincipalName :
    

Aggiungi gMSA a GKE

Per utilizzare un gMSA in un cluster Kubernetes, devi creare una risorsa gMSA in e configurare gli spazi dei nomi e gli account autorizzati a utilizzare Kubernetes li annotino.

  1. Su gmsa-dev-vm, in PowerShell, installa lo strumento git:

    Install-Script -Name Install-Git -Force
    Install-Git.ps1
    $env:Path += ";c:\program files\git\bin"
    
  2. Installa lo strumento kubectl:

    $version = (Invoke-WebRequest -UseBasicParsing -Uri "https://dl.k8s.io/release/stable.txt").Content
    $uri = "https://dl.k8s.io/release/$version/bin/windows/amd64/kubectl.exe"
    New-Item -Type Directory $env:ProgramFiles\kubectl
    Start-BitsTransfer -Source $uri -Destination $env:ProgramFiles\kubectl\
    $env:Path += ";$env:ProgramFiles\kubectl"
    
  3. Installa il programma binario gke-gcloud-auth-plugin:

    gcloud components install gke-gcloud-auth-plugin
    

    Attendi alcuni minuti per il completamento della procedura di installazione.

  4. Inizializza lo strumento kubectl con il tuo GKE credenziali del cluster:

    gcloud container clusters get-credentials $GkeClusterName
    
  5. Crea il file Specifiche delle credenziali gMSA:

    Install-Module CredentialSpec -Force
    $GmsaName = $GmsaName.ToLower()
    $CredSpecFile = Join-Path $env:TEMP "$GmsaName-credspec.json"
    New-CredentialSpec -AccountName $GmsaName -Path $CredSpecFile
    
    $CredentialsSpec=@{
    "apiVersion" = "windows.k8s.io/v1";
    "kind" = "GMSACredentialSpec";
    "metadata" = @{"name" = $GmsaName}
    "credspec" = (Get-Content $CredSpecFile | ConvertFrom-Json)
    }
    
    $CredentialsSpec | ConvertTo-Json -Depth 5 | Set-Content $CredSpecFile
    

    Il nome della risorsa GMSACredentialSpec in Kubernetes deve utilizzare caratteri minuscoli.

    Lo script modifica l'uso delle maiuscole della variabile $GmsaName per renderlo conforme con questa restrizione.

    Lo script visualizza un messaggio di avviso che indica che il test del servizio gestito Errore dell'account, come previsto. La tua VM di sviluppo non è membro di il gruppo assegnato al gMSA, quindi non puoi testare gMSA dalla VM. Il messaggio di avviso non interrompe il comando generando la specifica delle credenziali gMSA.

  6. Aggiungi la specifica delle credenziali gMSA a GKE cluster:

    kubectl apply -f $CredSpecFile
    
  7. Clona il repository GitHub:

    git clone https://github.com/GoogleCloudPlatform/kubernetes-engine-samples
    cd kubernetes-engine-samples/windows/aspnet-gmsa/
    
  8. Aggiungi gli oggetti RBAC gMSA al cluster:

    kubectl apply -f gmsa-rbac-webapp-01.yaml
    

    gmsa-rbac-webapp-01.yaml crea un oggetto RBAC ClusterRole per gMSA e quindi associa il nuovo ruolo del cluster all'account di servizio predefinito in lo spazio dei nomi default. Se esegui il deployment della tua applicazione in un uno spazio dei nomi diverso, modifica il file gmsa-rbac-webapp-01.yaml per l'associazione del ruolo e per l'account di servizio.

Deployment e utilizzo dell'applicazione web

Successivamente, esegui la compilazione dell'applicazione web e dell'immagine del contenitore, esegui il deployment della nuova immagine del contenitore nel cluster GKE e apri l'applicazione web nel browser per verificare che possa utilizzare il gMSA.

Crea ed esegui il deployment dell'applicazione web ASP.NET

  1. In gmsa-dev-vm, in PowerShell, imposta le variabili per la posizione del registry, il nome del registry e il tag immagine:

    $RegistryLocation = "LOCATION-docker.pkg.dev"
    $ProjectsRegistry = "$RegistryLocation/$ProjectId"
    $ImageTag = "$ProjectsRegistry/windows-container-images/test-gmsa:latest"
    

    Sostituisci LOCATION con la posizione in cui hai creato il repository Artifact Registry.

  2. Crea l'immagine container:

    docker build -t $ImageTag -f Dockerfile-WINDOWS_LTSC2022 .
    

    Per creare immagini container per Windows Server 2019, imposta il parametro -f su Dockerfile-WINDOWS_LTSC2019.

  3. Esegui il push dell'immagine container in Artifact Registry:

    gcloud auth configure-docker $RegistryLocation --quiet
    docker push $ImageTag
    
  4. Scarica il file YAML dell'applicazione e aggiornalo con la configurazione gMSA:

    $ApplicationYaml = Join-Path $env:TEMP "gmsa-test-webapp-01.yaml"
    
    (Get-Content gmsa-test-webapp-01.yaml.template) `
    -Replace '\${image_path}',$ImageTag | `
    Set-Content $ApplicationYaml
    

    Se crei nodi Windows Server 2019 in GKE, modifica il file YAML dell'applicazione e cambia il valore di cloud.google.com/gke-windows-os-version da 2022 a 2019.

  5. Esegui il deployment dell'applicazione web nel tuo cluster GKE:

    kubectl apply -f $ApplicationYaml
    

Verifica che l'applicazione web ASP.NET sia in esecuzione

L'applicazione web è esposta a internet utilizzando un servizio LoadBalancer. Prima di poter accedere all'applicazione web, devi attendere il deployment del pod e del servizio. Il deployment del pod può richiedere diversi minuti Le immagini container di Windows Server Core sono grandi (l'immagine dell'applicazione web è più grandi di 7 GB) e il nodo impiega del tempo per scaricare l'immagine per creare il container.

  1. Controlla lo stato del pod:

    kubectl get pods --selector=app=gmsa-test-webapp-01
    

    Ripeti il comando finché l'output non indica che lo stato del pod. è In esecuzione:

    NAME                                   READY     STATUS    RESTARTS   AGE
    gmsa-test-webapp-01-76c6d64975-zrtgq   1/1       Running   0          28s
    

    Se lo stato del pod rimane In sospeso e non passa a ContainerCreate o Running, verifica l'immagine di origine del nodo Windows per verificare che sia Windows Server 2022. Puoi anche controllare la tabella della mappatura delle versioni per vedere come le versioni GKE vengono mappate alle versioni di Windows Server. Se le versioni non corrispondono, duplica il file Dockerfile-WINDOWS_LTSC2022, imposta la immagine del contenitore di base nel nuovo file in modo che corrisponda alla versione di Windows Server dei tuoi nodi, quindi ripeti i passaggi per eseguire il build e il deployment dell'applicazione web ASP.NET.

  2. Controlla lo stato del servizio:

    kubectl get service --selector=app=gmsa-test-webapp-01
    

    Ripeti il comando finché l'output non mostra che il servizio ha un indirizzo IP esterno:

    NAME                   TYPE           CLUSTER-IP    EXTERNAL-IP      PORT(S)        AGE
    gmsa-test-webapp-01    LoadBalancer   10.44.2.112   external-ip    80:32233/TCP   17s
    
  3. Prendi nota del valore external-ip nell'output, che ti servirà in seguito.

Esegui test preliminari nell'applicazione web ASP.NET

Il pod è ora in esecuzione ed è accessibile da internet tramite un bilanciatore del carico di rete. Successivamente, esegui dei test preliminari per verificare che il container sia il deployment sia andato a buon fine e che disponga delle autorizzazioni necessarie per utilizzare gMSA.

  1. In un browser, vai a http://EXTERNAL-IP per visualizzare il gMSA per testare l'applicazione web.

    Sostituisci EXTERNAL-IP con l'indirizzo IP che nella procedura precedente.

  2. Scorri fino alla sezione Controlli preflight e fai clic sul pulsante Esegui. Pulsante Controlli preflight per verificare che tutti i test siano stati superati.

    Se i test vengono superati, l'output è il seguente:

    [PASS]  Active Directory RSAT PowerShell Module Installed
    
    [PASS]  IIS Document Root found
            C:\inetpub\wwwroot\
    
    [PASS]  PowerShell Scripts Folder found
            C:\inetpub\wwwroot\Powershell\
    
    [PASS]  Container Diagnostic Script found
            C:\inetpub\wwwroot\Powershell\\containerDiag.ps1
    
    [PASS]  Domain Diagnostic Script found
            C:\inetpub\wwwroot\Powershell\\domainDiag.ps1
    
    [RES]   Result: PASS   All checks passed! Please proceed to run the different tests.
    
  3. Scorri fino alla sezione Informazioni contenitore e fai clic sul pulsante Pulsante Esegui script. Verifica di visualizzare le informazioni sul contenitore e sul nodo e che non venga visualizzato alcun errore.

Utilizza gMSA nei container Windows

Ora puoi verificare che la configurazione di gMSA funzioni correttamente eseguendo diverse i test nell'applicazione web. Ciascuno dei test utilizza il gMSA per un che non ha uno scopo specifico. Se tutti i test hanno esito positivo, significa che gMSA è stato configurato correttamente.

Convalida la configurazione del container gMSA

  • Scorri fino alla sezione Connettività del dominio, digita il nome del tuo gMSA (WebApp-01) nella casella Nome account, quindi fai clic su Esegui script. Attendi qualche secondo per il completamento dei test.

    L'output è simile al seguente:

    *****   C O N T A I N E R   D I A G N O S T I C S   *****
    
    [INFO]  Starting script execution at 01-05-2021-13:53:11
    
    [INFO]  Using gMSA: WebApp-01
    
    [PASS]  gMSA Account found in Active Directory
            CN=WebApp01,CN=Managed Service Accounts,DC=corp,DC=example,DC=com
    
    [PASS]  This Container (gmsa-test-webapp01-5bc485b8d5-9lbb7) is running on a GKE Windows Node that is authorized to use WebApp01
    
    [INFO]  Script execution complete at 01-05-2021-13:53:12
    
    *****      E N D   O F   D I A G N O S T I C S      *****
    

    Lo script utilizza due cmdlet di PowerShell per testare l'accesso al gMSA:

    • Get-ADServiceAccount: questo cmdlet recupera informazioni su un account gMSA. Se questo cmdlt viene eseguito correttamente, il container è in esecuzione con un gMSA valido.
    • Test-ADServiceAccount: questo cmdlet verifica se è possibile recuperare le credenziali gMSA. Se il comando viene eseguito correttamente, il contenitore è in esecuzione in un nodo Windows Server autorizzato ad accedere alle credenziali gMSA.

Consentire agli utenti di accedere con l'autenticazione di Windows

  1. Nella barra di navigazione in alto della pagina, fai clic su Accedi.
  2. Quando ti viene chiesto di inserire le credenziali, inserisci il nome utente e la password del tuo dominio.
  3. Se vedi la pagina Sicuro con i dati del tuo account e non ti viene richiesto di inserire le credenziali, significa che il browser ha eseguito automaticamente l'accesso utilizzando la tua identità corrente.

    Una volta eseguita l'autenticazione, vedrai la pagina Sicuro. Assicurati di consulta le tre sezioni seguenti:

    • Informazioni utente: vengono visualizzati il nome utente e il tipo di autenticazione utilizzato.
    • Gruppi: mostra l'elenco dei gruppi di cui fai parte. Il gruppo dei nomi nell'elenco vengono recuperati da Active Directory.
    • Rivendicazioni dell'utente: mostra l'elenco delle rivendicazioni dell'utente fornito da Active Directory durante l'accesso. Le rivendicazioni di appartenenza al gruppo mostrano Gruppo Active Directory SID non i loro nomi.

Oltre a supportare l'autenticazione Windows integrata, l'applicazione web ASP.NET può utilizzare il proprio gMSA per l'autenticazione quando chiama i server remoti. Utilizzando gMSA, l'applicazione web e qualsiasi altra applicazione in esecuzione Il container Windows può accedere alle risorse nella rete che richiedono Windows dei nodi, come le istanze SQL Server e le condivisioni di rete basate su SMB.

Risoluzione dei problemi

Se viene visualizzato un messaggio di errore durante il processo di configurazione o durante i test l'applicazione web, consulta le seguenti pagine per la risoluzione dei problemi:

Considerazioni aggiuntive per le applicazioni di produzione

Le istruzioni che hai seguito sono state scritte per fornire un percorso ottimale ai fini del tutorial. Per un ambiente di produzione, puoi apportare modifiche di alcune procedure per rendere i risultati più affidabili, come descritto le sezioni seguenti.

Considerazioni sui pool di nodi di Windows Server

Se prevedi di eseguire il deployment della tua applicazione che utilizza un gMSA e supporta le sessioni client, ti consigliamo di creare almeno due di nodi nel pool di nodi. La presenza di più nodi ti consente di utilizzare lo spazio di archiviazione delle sessioni out-of-process per verificare che la tua applicazione possa gestire correttamente le sessioni distribuite.

In questo tutorial, creerai un singolo pool di nodi Windows Server per ospitare diverse applicazioni. Tuttavia, potrebbero verificarsi situazioni in cui vuoi creare più pool di nodi Windows Server nel tuo cluster, ad esempio un pool di nodi con dischi permanenti (DP) HDD e un altro pool di nodi con DP SSD. Se hai bisogno per eseguire il deployment dell'applicazione in più pool di nodi, fornisci un array di La directory raggruppa gli oggetti nell'PrincipalsAllowedToRetrieveManagedPassword , quando crea il gMSA utilizzando il cmdlet New-ADServiceAccount.

Considerazioni sul nome entità servizio (SPN) e sui gMSA

Se la tua applicazione richiede l'autenticazione degli utenti tramite Kerberos (ad esempio per supportare la delega dell'identità), devi accedere all'applicazione utilizzando un DNS personalizzato e configurare il gMSA con un nome entità servizio (SPN). Ad esempio, se il bilanciatore del carico espone l'applicazione su GKE tramite https://my-web-app/, devi creare un SPN denominato HTTP/my-web-app in uno dei seguenti modi:

  • Per un nuovo account gMSA, crealo con gli SPN richiesti. Ad esempio:

    New-ADServiceAccount -Name $GmsaName `
    -DNSHostName "$GmsaName.$AdDomain" `
    -PrincipalsAllowedToRetrieveManagedPassword $Groups `
    -ServicePrincipalNames "HTTP/my-web-app", "HTTP/my-web-app.$AdDomain"
    
  • Per un account gMSA esistente, chiama Set-ADServiceAccount per aggiungere gli SPN richiesti all'account gMSA. Ad esempio:

    Set-ADServiceAccount $GmsaName -ServicePrincipalNames @{Add="HTTP/my-web-app", "HTTP/my-web-app.$AdDomain"}
    

A seconda della configurazione DNS, potrebbe essere necessario creare anche un SPN per HTTP/www.my-web-app e HTTP/www.my-web-app.$AdDomain.

Per i protocolli non HTTP, ad esempio un servizio WCF configurato con il binding TCP e l'autenticazione Windows, potrebbe essere necessario creare altri tipi di SPN, ad esempio un SPN HOST/.

Scelta dell'identità del pool di applicazioni IIS

Le applicazioni web ASP.NET vengono eseguite in Windows sul server web IIS. In IIS, configuri gruppi di applicazioni web che condividono lo stesso processo. Questo gruppo è chiamato pool di applicazioni. Ogni pool di applicazioni è ospitato in un processo dedicato denominato w3wp. IIS i pool di applicazioni forniscono la configurazione del processo, ad esempio se il processo è un processo a 32 o 64 bit e forniscono l'identità del processo. Quando esegui un'applicazione web in un contenitore Windows, imposta l'identità del processo del pool di applicazioni in modo da utilizzare l'account Network Service integrato.

Il team identità del pool di applicazioni supportati anche da IIS, non sono obbligatori nei container Windows. La sono stati creati da IIS come mezzo per applicare confine di sicurezza locale quando si eseguono più applicazioni web sulla stessa istanza IIS. Con i contenitori Windows, in cui ogni applicazione web è ospitata in un contenitore separato, non è necessario creare un confine di sicurezza all'interno del contenitore, perché il contenitore stesso fornisce il confine di sicurezza.

Anche se l'identità del pool di applicazioni è configurata per utilizzare l'account Network Service, se l'applicazione invia una richiesta a una risorsa esterna che richiede l'autenticazione, l'applicazione si autentica utilizzando il gMSA che hai configurato per il contenitore Windows.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

Rimozione di singole risorse

Se vuoi conservare il progetto Google Cloud, ma non vuoi eliminare Puoi rimuovere le risorse Google Cloud che hai creato per questo tutorial le risorse singolarmente.

Annullare le modifiche ad Active Directory

  1. Collegati alla VM di sviluppo e accedi come utente con accesso amministrativo al dominio Active Directory.
  2. Nella VM gmsa-dev-vm, se PowerShell non è già aperto, aprilo:

    PowerShell
    
  3. Elimina il gMSA:

    Remove-ADServiceAccount -Identity "WebApp-01" -Confirm:$false
    

Eliminare le risorse cloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

  2. Inizializza l'ambiente gcloud:

    gcloud config set project PROJECT-ID
    gcloud config set compute/zone ZONE-NAME
    gcloud config set artifacts/location LOCATION
    

    Sostituisci quanto segue:

    • PROJECT-ID: l'ID del tuo progetto Google Cloud.
    • ZONE-NAME: la zona in cui hai eseguito il deployment del cluster GKE e della VM di sviluppo.
    • LOCATION: la regione in cui hai eseguito il deployment nel repository di Artifact Registry.
  3. Elimina la VM di sviluppo:

    gcloud compute instances delete gmsa-dev-vm --quiet
    
  4. Elimina l'account di servizio:

    gcloud iam service-accounts delete dev-vm@$GOOGLE_CLOUD_PROJECT.iam.gserviceaccount.com --quiet
    
  5. Elimina il cluster GKE:

    gcloud container clusters delete cluster-1 --quiet
    
  6. Se hai creato una regola firewall per i controller Active Directory, eliminala:

    gcloud compute firewall-rules delete allow-gke-pods-to-ad --quiet
    
  7. Elimina il repository Docker di Artifact Registry:

    gcloud artifacts repositories delete windows-container-images --quiet
    

Per terminare, segui i passaggi di pulizia in Configurazione di Active Directory per fare in modo che le VM vengano aggiunte automaticamente a un dominio.

Passaggi successivi