Esegui il deployment di app ASP.NET con autenticazione di Windows nei container Windows GKE

Architettura

Le applicazioni basate su Windows che vengono eseguite in un Windows Server aggiunto a un dominio spesso utilizzano le identità di Microsoft Active Directory (AD) per autenticare utenti e applicazioni. I casi d'uso comuni sono i seguenti:

• Creazione di applicazioni web ASP.NET che utilizzano l'autenticazione integrata di Windows per autenticare gli utenti di Active Directory quando tentano di accedere all'applicazione web.
• Creazione di applicazioni che utilizzano l'account computer Active Directory del server per accedere alle risorse sulla rete, ad esempio una condivisione SMB remota o un'istanza Microsoft SQL Server remota.

I container Windows non possono essere aggiunti a un dominio e pertanto non dispongono di account computer in Active Directory. Per questo motivo, le applicazioni web ASP.NET eseguite sui container Windows non possono autenticare gli utenti di Active Directory tramite l'autenticazione integrata di Windows e pertanto non possono accedere alle risorse protette nella rete. Per ulteriori informazioni su come ASP.NET accede alle risorse protette, consulta Identità pool di applicazioni nella documentazione di Microsoft.

Anziché utilizzare un account computer, i container Windows possono utilizzare un'identità di account del servizio gestito (gMSA) di Active Directory per accedere ad Active Directory e ad altre risorse protette nella rete, come condivisioni di file e istanze di SQL Server. Per ulteriori informazioni, vedi Panoramica dei service account gestiti dal gruppo nella documentazione di Microsoft.

Il seguente diagramma dell'architettura mostra le risorse utilizzate in questo tutorial:

Il diagramma mostra i seguenti elementi:

• VM di sviluppo. In questo tutorial, crei una VM Windows Server che utilizzi per creare l'immagine container dell'applicazione web ASP.NET e per creare la gMSA.
• Cluster e nodi GKE. Il cluster GKE in questo tutorial ha un node pool Linux e un pool di nodi Windows Server, che vengono utilizzati nei seguenti modi:
  • I nodi Linux eseguono componenti di sistema che vengono eseguiti solo sui sistemi operativi Linux, come il server delle metriche GKE.
  • I nodi Windows Server vengono utilizzati per ospitare i container Windows Server e sono uniti a un dominio Active Directory.
• Infrastruttura Active Directory. Per fare in modo che i nodi Windows GKE vengano aggiunti al dominio, devi prima seguire il tutorial Configurazione di Active Directory per l'aggiunta automatica di un dominio alle VM. In questo tutorial, crei un servizio Cloud Run responsabile della registrazione di nuovi computer (istanze) in Active Directory e della fornitura a ogni nuova istanza di una password temporanea che l'istanza utilizza per completare la procedura di unione al dominio. Ogni nuova istanza nel pool di nodi Windows Server chiama il servizio Cloud Run per unirsi al dominio Active Directory.
• Bilanciatore del carico di rete. Quando un utente on-premise apre il browser e naviga nell'applicazione web ASP.NET, il traffico passa attraverso un bilanciatore del carico di rete. Il bilanciatore del carico viene creato da GKE quando crei un servizio LoadBalancer GKE per la tua applicazione web. L'utente esegue anche l'autenticazione all'applicazione web passando le proprie credenziali di Active Directory all'applicazione web.

Creazione dell'infrastruttura

Dopo aver completato il tutorial correlato, crei i componenti dell'infrastruttura per il tutorial attuale, che include quanto segue:

• Una VM Windows Server con un'immagine container dell'applicazione web ASP.NET.
• Un cluster GKE con un pool di nodi Windows Server.
• Regole firewall che concedono ai pod GKE l'accesso ad Active Directory.
• Un webhook nel cluster GKE che gestisce la configurazione e il popolamento delle risorse gMSA nei deployment.

Crea una VM di sviluppo

L'immagine container Windows Server che crei deve corrispondere alla versione di Windows Server della VM in cui crei l'immagine container. Questa versione deve corrispondere anche alla versione di Windows Server dei nodi GKE Window Server. La creazione di un'immagine container o l'esecuzione di un container in una versione diversa di Windows Server genera un errore. Per ulteriori informazioni sui requisiti di compatibilità dei container Windows, consulta Corrispondenza tra la versione dell'host del container e le versioni dell'immagine container.

Questo tutorial utilizza la versione Long-Term Servicing Channel (LTSC) 2022 di Windows Server per la VM, i nodi Windows Server in GKE e l'immagine container. Per ulteriori informazioni, consulta la mappatura delle versioni tra le versioni di Windows Server e le versioni di GKE.

1. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

2. Se PowerShell è aperto, chiudilo digitando exit.

3. Imposta le variabili di ambiente per il nome della rete e della subnet e per l'URL del servizio Active Directory:

   export NETWORK_NAME=NETWORK-NAME
   export SUBNETWORK_NAME=SUBNETWORK-NAME
   export AD_JOIN_SERVICE_URL=AD-JOIN-SERVICE-URL
   

   Sostituisci quanto segue:

   • NETWORK-NAME: la rete VPC in cui eseguire il deployment delle VM.
   • SUBNETWORK-NAME: La subnet in cui eseguire il deployment delle VM.
   • AD-JOIN-SERVICE-URL: l'URL del servizio Cloud Run di cui hai eseguito il deployment nella sezione Prima di iniziare.

4. Imposta l'ID progetto Google Cloud e la regione per l'ambiente corrente:

   gcloud config set project PROJECT-ID
   gcloud config set compute/zone ZONE-NAME
   

   Sostituisci quanto segue:

   • PROJECT-ID: il tuo ID progetto Google Cloud .
   • ZONE-NAME: la zona in cui eseguire il deployment di tutte le VM. Per ridurre la latenza, ti consigliamo di selezionare una zona nella stessa regione in cui hai eseguito il deployment del servizio Cloud Run di unione al dominio Active Directory.

5. Crea un account di servizio per la VM di sviluppo:

   export SERVICE_ACCOUNT_NAME=dev-vm
   export SERVICE_ACCOUNT_EMAIL=$SERVICE_ACCOUNT_NAME@$GOOGLE_CLOUD_PROJECT.iam.gserviceaccount.com
   
   gcloud iam service-accounts create $SERVICE_ACCOUNT_NAME \
       --display-name="Development VM Service Account"
   

6. Concedi all'account di servizio l'accesso ad Artifact Registry:

   gcloud projects add-iam-policy-binding $GOOGLE_CLOUD_PROJECT \
       --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" \
       --role="roles/artifactregistry.writer"
   

7. Concedi al account di servizio l'accesso a GKE:

   gcloud projects add-iam-policy-binding $GOOGLE_CLOUD_PROJECT \
       --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" \
       --role="roles/container.admin"
   

   Al account di servizio viene concesso il ruolo container.admin perché questo ruolo dispone delle autorizzazioni per creare cluster GKE nel progetto e per gestire le risorse nei cluster, incluse le risorscontrollo dell'accessolo dell'accesso basato sui ruoli (RBAC). Le risorse RBAC sono necessarie per controllare quale pod è autorizzato a utilizzare un gMSA.

8. Crea una nuova VM Windows Server 2022:

   gcloud compute instances create gmsa-dev-vm \
       --image-project windows-cloud \
       --image-family windows-2022-core \
       --machine-type n1-standard-2 \
       --boot-disk-type=pd-ssd \
       --boot-disk-size=100GB \
       --network $NETWORK_NAME \
       --subnet $SUBNETWORK_NAME \
       --service-account=$SERVICE_ACCOUNT_EMAIL \
       --scopes https://www.googleapis.com/auth/cloud-platform \
       --metadata sysprep-specialize-script-ps1="iex((New-Object System.Net.WebClient).DownloadString('$AD_JOIN_SERVICE_URL')); Add-WindowsFeature RSAT-AD-PowerShell"
   

   Se prevedi di eseguire il deployment delle applicazioni in contenitori nei contenitori Windows Server 2019, modifica il valore parametro --image-family in windows-2019-core-for-containers.

   L'ambito https://www.googleapis.com/auth/cloud-platform consente all'istanza di accedere a tutte le API Google Cloud , a seconda dei ruoli IAM definiti per il account di servizio dell'istanza.

   La VM viene creata con un indirizzo IP esterno per consentirle di comunicare con internet. La VM deve avere accesso a internet per poter scaricare diverse utilità, come git e kubectl, e per scaricare l'applicazione web ASP.NET da GitHub.

   Durante la fase sysprep, la nuova istanza viene unita al dominio Active Directory per consentirti di accedere in remoto all'istanza utilizzando l'account di dominio. Lo script nel comando sysprep installa anche il modulo PowerShell per Active Directory.

Crea un repository Docker di Artifact Registry

1. In Cloud Shell, imposta la posizione predefinita per i nuovi repository Artifact Registry:

   gcloud config set artifacts/location LOCATION
   

   Sostituisci LOCATION con una regione in cui vuoi creare il repository Artifact Registry. Per ridurre la latenza, ti consigliamo di selezionare la stessa regione in cui hai eseguito il deployment della VM di sviluppo.

2. Crea il repository Docker di Artifact Registry:

   gcloud artifacts repositories create windows-container-images \
       --repository-format=docker
   

Crea un cluster GKE

1. In Cloud Shell, imposta una variabile di ambiente per il nome del cluster GKE:

   export GKE_CLUSTER_NAME=cluster-1
   

2. Crea il cluster GKE:

   gcloud container clusters create $GKE_CLUSTER_NAME \
       --release-channel rapid \
       --network $NETWORK_NAME \
       --subnetwork $SUBNETWORK_NAME \
       --enable-ip-alias
   

   Se imposti il parametro --release-channel su rapid, viene eseguito il deployment del cluster GKE con l'ultima versione di Kubernetes. Il parametro --enable-ip-alias attiva l'alias IP. L'IP alias è obbligatorio per i nodi Windows Server.

Crea un pool di nodi Windows Server in GKE

Quando crei un nuovo cluster GKE tramite la CLI, il cluster viene creato con un pool di nodi Linux. Per utilizzare Windows Server su GKE, crea un pool di nodi Windows Server.

I cluster GKE devono avere almeno un nodo Linux per eseguire i container interni (di sistema) del cluster. Non è possibile creare un cluster GKE solo con nodi Windows Server.

1. In Cloud Shell, imposta una variabile di ambiente per il nome delpool di nodil del server Windows:

   export NODE_POOL_NAME=windows-server-pool
   

2. Crea un pool di nodi GKE Windows Server:

   gcloud container node-pools create $NODE_POOL_NAME \
       --cluster $GKE_CLUSTER_NAME \
       --machine-type n1-standard-2 \
       --image-type WINDOWS_LTSC_CONTAINERD \
       --windows-os-version=ltsc2022 \
       --num-nodes 2 \
       --no-enable-autoupgrade \
       --metadata sysprep-specialize-script-ps1="iex((New-Object System.Net.WebClient).DownloadString('$AD_JOIN_SERVICE_URL'))"
   

   Se prevedi di eseguire il deployment delle tue applicazioni containerizzate nei container Windows Server 2019, modifica il parametro --windows-os-version in ltsc2019.

   La chiave di metadati sysprep-specialize-script-ps1 è una chiave integrata che punta a uno script PowerShell eseguito durante il passaggio GCESysprep, prima dell'avvio dell'istanza per la prima volta.

   Il cmdlet iex scarica lo script PowerShell dal servizio di unione al dominio Active Directory che hai eseguito il deployment su Cloud Run. quindi esegue lo script che unisce la nuova istanza al dominio Active Directory.

   Il parametro --no-enable-autoupgrade disabilita l'upgrade automatico dei nodi per tutti i nodi nel pool. Lo fa perché l'upgrade dell'immagine Windows di un nodo può causare incompatibilità tra la versione di Windows Server del nodo e quella del pod. Per maggiori informazioni, vedi Upgrade dei pool di nodi Windows Server.

   Dopo la creazione di ogni nodo, lo script PowerShell domain-join unisce il nodo al dominio.

3. Attendi diversi minuti fino alla creazione del pool di nodi, quindi esegui il comando seguente per verificare che tutti i nodi abbiano eseguito l'accesso al dominio:

   kubectl get node \
   -l cloud.google.com/gke-nodepool=$NODE_POOL_NAME \
   -o custom-columns=":metadata.name" --no-headers \
       | xargs -I{} gcloud compute instances get-serial-port-output {} --port 1 \
       | grep "sysprep-specialize-script-ps1:.*success" --ignore-case
   

   Se i nodi sono stati uniti al dominio, l'output è il seguente:

   timestamp GCEMetadataScripts: sysprep-specialize-script-ps1: Successfully registered computer account.
   timestamp GCEMetadataScripts: sysprep-specialize-script-ps1: Computer successfully joined to domain
   
   Specify --start=152874 in the next get-serial-port-output invocation to get only the new output starting from here.
   

   Se vuoi visualizzare l'output completo dello script, rimuovi .*success dal comando grep.

Concedi ai pod GKE l'accesso ad Active Directory

Devi creare una regola firewall che consenta ai pod del cluster GKE di accedere ai tuoi domain controller utilizzando i seguenti protocolli:

• Kerberos (UDP/88, TCP/88)
• NTP (UDP/123)
• RPC (TCP/135, TCP/49152-65535)
• LDAP (UDP/389, TCP/389)
• SMB (UDP/445, TCP/445)
• LDAP GC (TCP/3268)
• Servizi web Active Directory (TCP/9389)

Puoi applicare la regola in base a un account di servizio che hai assegnato ai controller di dominio oppure puoi applicarla utilizzando un tag di rete, come mostrato in questo tutorial. Per scoprire di più sulle porte correlate ad Active Directory, consulta la documentazione sui requisiti di porte e protocolli di Active Directory e sull'utilizzo di Active Directory attraverso i firewall.

Se utilizzi Managed Service for Microsoft Active Directory (Microsoft AD gestito), puoi saltare questa procedura.

1. In Cloud Shell, ottieni l'intervallo di indirizzi IP dei pod del cluster GKE:

   CLUSTER_IP_RANGE=`gcloud container clusters describe $GKE_CLUSTER_NAME --format="value(clusterIpv4Cidr)"`
   

2. Crea una regola firewall per consentire ai pod GKE di accedere ad Active Directory:

   gcloud compute firewall-rules create allow-gke-pods-to-ad \
       --network $NETWORK_NAME \
       --allow udp:88,tcp:88,udp:123,tcp:135,tcp:49152-65535,udp:389,tcp:389,udp:445,tcp:445,tcp:3268,tcp:9389 \
       --source-ranges=$CLUSTER_IP_RANGE \
       --target-tags DC-TAG
   

   Sostituisci DC-TAG con il tag di rete assegnato alle VM dei controller di dominio.

Configura GKE per supportare l'utilizzo degli account di servizio gestiti da Google

Per utilizzare un gMSA nei nodi Windows Server, devi creare l'oggetto gMSA in Active Directory, creare una risorsa gMSA corrispondente in GKE e consentire ai pod appena creati di recuperare le credenziali gMSA.

1. In Cloud Shell, scarica ed esegui lo script webhook gMSA:

   export K8S_GMSA_DEPLOY_DOWNLOAD_REV=b685a27adc40511bb5756dfb3ada2e8578ee72e1
   curl https://raw.githubusercontent.com/kubernetes-sigs/windows-gmsa/$K8S_GMSA_DEPLOY_DOWNLOAD_REV/admission-webhook/deploy/deploy-gmsa-webhook.sh -o deploy-gmsa-webhook.sh && chmod +x deploy-gmsa-webhook.sh
   
   ./deploy-gmsa-webhook.sh --file ./gmsa-webhook.yml --namespace gmsa-webhook --overwrite
   rm -drf gmsa-webhook-certs
   

   Lo script aggiunge il manifest della definizione di risorsa personalizzata (CRD) gMSA al tuo cluster GKE e ne esegue il deployment di un webhook che fornisce le specifiche gMSA ai pod. Ora puoi archiviare le specifiche gMSA nel cluster e configurare le gMSA per pod e container.

   Per saperne di più su Kubernetes e gMSA, consulta la pagina Configurare gMSA per pod e container Windows.

Il cluster GKE è ora pronto per eseguire applicazioni Windows che richiedono l'utilizzo di un gMSA. Ad esempio, puoi eseguire un'applicazione web ASP.NET nei nodi Windows Server. Puoi configurare l'applicazione per consentire agli utenti di accedere con l'autenticazione di Windows o fare in modo che l'applicazione utilizzi l'account di servizio gestito dal gruppo del pod per accedere a una condivisione di rete remota o a un database SQL Server.

Integrazione con Active Directory

Successivamente, crea un gMSA per la tua applicazione web ASP.NET in Active Directory, configura come può essere utilizzato e da chi, quindi aggiungi la sua configurazione a GKE.

Accedi e avvia PowerShell

1. Connettiti alla VM gmsa-dev-vm.

2. Accedi a Windows utilizzando un account Active Directory autorizzato a creare un gMSA.

   Il tuo account deve essere membro del gruppo Domain Admins o deve essere in grado di creare oggetti msDS-GroupManagedServiceAccount. Per ulteriori informazioni, vedi Provisioning group Managed Service Accounts.

   Se utilizzi Microsoft AD gestito, il tuo account deve essere membro del gruppo Cloud Service Managed Service Account Administrators. Per maggiori informazioni, vedi Delegare l'amministrazione degli account di servizio gestiti.

3. Digita 15 per uscire dal menu e passare alla riga di comando (PowerShell).

Installa un runtime container

Windows Server 2022 richiede un runtime del container, come Docker Community Edition (CE), per creare ed eseguire container Windows. Per saperne di più sull'installazione di un runtime del container su Windows Server, consulta la sezione Guida introduttiva: prepara Windows per i container nella documentazione Microsoft.

Se hai creato la VM di sviluppo utilizzando l'immagine windows-2019-core-for-containers, puoi saltare la procedura seguente perché l'immagine ha già Docker installato.

1. Installa Docker Community Edition (CE):

   Invoke-WebRequest -UseBasicParsing -o install-docker-ce.ps1 `
      "https://raw.githubusercontent.com/microsoft/Windows-Containers/Main/helpful_tools/Install-DockerCE/install-docker-ce.ps1"
   .\install-docker-ce.ps1
   

   Se durante il processo di installazione la connessione al desktop remoto si chiude, riconnettiti alla VM.

2. Attendi il completamento della procedura di installazione, poi digita exit per chiudere la nuova finestra di PowerShell.

3. Digita 15 per uscire dal menu e passare alla riga di comando (PowerShell).

Creare una chiave radice KDS

Prima di creare un gMSA, devi assicurarti che il controller di dominio Active Directory disponga di una chiave radice Key Distribution Services (KDS). Active Directory utilizza la chiave radice KDS per generare le password per gli account di servizio gestiti da Google.

Se utilizzi Managed Microsoft AD, puoi saltare la seguente procedura perché Managed Microsoft AD crea la chiave radice KDS quando crei il dominio.

1. Su gmsa-dev-vm, controlla se Active Directory dispone già della chiave root KDS:

   Get-KdsRootKey
   

   Questo comando visualizza l'ID chiave, se esistente.

2. Se non ricevi un ID chiave in risposta, crea la chiave:

   Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
   

Crea l'account del servizio gestito

Quando crei un gMSA, devi fornire i nomi dei computer che hanno accesso al gMSA. Come best practice di sicurezza, devi concedere l'autorizzazione all'account di servizio gestito da gruppo solo alle istanze in cui viene eseguita l'applicazione. Quando crei unpool di nodil Windows Server aggiunto a un dominio, viene creato un nuovo gruppo Active Directory per i computer depool di nodiol. Il nome del gruppo corrisponde al nome del gruppo di istanze gestite (MIG) che GKE crea per il pool di nodi.

1. In PowerShell, imposta le variabili per l'ID progetto Google Cloud , il nome del cluster, il nome del pool di nodi Windows, il nome gMSA e il nome di dominio AD:

   $ProjectId = "PROJECT-ID"
   $GkeClusterName = "cluster-1"
   $PermittedNodePool = "windows-server-pool"
   $GmsaName = "WebApp-01"
   $AdDomain = (Get-ADDomain).DNSRoot
   

   Sostituisci PROJECT-ID con l'ID del tuo progetto Google Cloud .

2. Imposta la configurazione del cluster per lo strumento gcloud:

   gcloud config set project $ProjectId
   gcloud config set compute/zone "ZONE-NAME"
   

   Sostituisci ZONE-NAME con la zona in cui hai eseguito il deployment del cluster GKE.

3. Recupera il nome di dominio del gruppo Active Directory creato per il pool di nodi:

   $InstanceGroupUri = gcloud container node-pools describe $PermittedNodePool `
       --cluster $GkeClusterName `
       --format="value(instanceGroupUrls)"
   $InstanceGroupName=([System.Uri]$instanceGroupUri).Segments[-1]
   $GroupDN=(Get-ADGroup -Filter "name -eq '$InstanceGroupName'")
   
   Write-Host $GroupDN.DistinguishedName
   

4. Crea l'account di servizio gestito:

   New-ADServiceAccount -Name $GmsaName `
   -DNSHostName "$GmsaName.$AdDomain" `
   -PrincipalsAllowedToRetrieveManagedPassword $GroupDN
   

5. Verifica che l'account del servizio gestito sia stato creato:

   Get-ADServiceAccount -Identity $GmsaName
   

   Se la gMSA è stata creata, l'output è simile al seguente:

   DistinguishedName : CN=WebApp01,CN=Managed Service Accounts,DC=corp,DC=example,DC=com
   Enabled           : True
   Name              : WebApp01
   ObjectClass       : msDS-GroupManagedServiceAccount
   ObjectGUID        : 5afcff45-cf15-467d-aaeb-d65e53288253
   SamAccountName    : WebApp01$
   SID               : S-1-5-21-780151012-601164977-3226406772-2103
   UserPrincipalName :
   

Aggiungi la gMSA a GKE

Per utilizzare un gMSA in un cluster Kubernetes, devi creare una risorsa gMSA in Kubernetes e configurare quali spazi dei nomi e account sono autorizzati a utilizzarla.

1. Su gmsa-dev-vm, in PowerShell, installa lo strumento git:

   Install-Script -Name Install-Git -Force
   Install-Git.ps1
   $env:Path += ";c:\program files\git\bin"
   

2. Installa lo strumento kubectl:

   $version = (Invoke-WebRequest -UseBasicParsing -Uri "https://dl.k8s.io/release/stable.txt").Content
   $uri = "https://dl.k8s.io/release/$version/bin/windows/amd64/kubectl.exe"
   New-Item -Type Directory $env:ProgramFiles\kubectl
   Start-BitsTransfer -Source $uri -Destination $env:ProgramFiles\kubectl\
   $env:Path += ";$env:ProgramFiles\kubectl"
   

3. Installa il programma binario gke-gcloud-auth-plugin:

   gcloud components install gke-gcloud-auth-plugin
   

   Attendi alcuni minuti per il completamento della procedura di installazione.

4. Inizializza lo strumento kubectl con le credenziali del cluster GKE:

   gcloud container clusters get-credentials $GkeClusterName
   

5. Crea il file delle specifiche delle credenziali gMSA:

   Install-Module CredentialSpec -Force
   $GmsaName = $GmsaName.ToLower()
   $CredSpecFile = Join-Path $env:TEMP "$GmsaName-credspec.json"
   New-CredentialSpec -AccountName $GmsaName -Path $CredSpecFile
   
   $CredentialsSpec=@{
   "apiVersion" = "windows.k8s.io/v1";
   "kind" = "GMSACredentialSpec";
   "metadata" = @{"name" = $GmsaName}
   "credspec" = (Get-Content $CredSpecFile | ConvertFrom-Json)
   }
   
   $CredentialsSpec | ConvertTo-Json -Depth 5 | Set-Content $CredSpecFile
   

   Il nome della risorsa GMSACredentialSpec in Kubernetes deve utilizzare caratteri minuscoli.

   Lo script modifica la capitalizzazione della variabile $GmsaName per rispettare questa limitazione.

   Lo script mostra un messaggio di avviso che indica che il test dell'account di servizio gestito non è riuscito, come previsto. La tua VM di sviluppo non è membro del gruppo assegnato al gMSA e pertanto non puoi testare il gMSA dalla VM. Il messaggio di avviso non impedisce al comando di generare la specifica delle credenziali gMSA.

6. Aggiungi la specifica delle credenziali gMSA al cluster GKE:

   kubectl apply -f $CredSpecFile
   

7. Clona il repository GitHub:

   git clone https://github.com/GoogleCloudPlatform/kubernetes-engine-samples
   cd kubernetes-engine-samples/windows/aspnet-gmsa/
   

8. Aggiungi gli oggetti RBAC gMSA al cluster:

   kubectl apply -f gmsa-rbac-webapp-01.yaml
   

   gmsa-rbac-webapp-01.yaml crea un oggetto RBAC ClusterRole per gMSA e poi associa il nuovo ruolo del cluster al account di servizio predefinito nello spazio dei nomi default. Se esegui il deployment dell'applicazione in uno spazio dei nomi diverso, modifica il file gmsa-rbac-webapp-01.yaml e cambia lo spazio dei nomi per l'associazione dei ruoli e per l'account di servizio.

Deployment e utilizzo dell'applicazione web

Successivamente, crei l'applicazione web e l'immagine container, esegui il deployment della nuova immagine container nel cluster GKE e apri l'applicazione web nel browser per verificare che possa utilizzare la gMSA.

Crea ed esegui il deployment dell'applicazione web ASP.NET

1. Su gmsa-dev-vm, in PowerShell, imposta le variabili per la posizione del registro di sistema, il nome del registro di sistema e il tag dell'immagine:

   $RegistryLocation = "LOCATION-docker.pkg.dev"
   $ProjectsRegistry = "$RegistryLocation/$ProjectId"
   $ImageTag = "$ProjectsRegistry/windows-container-images/test-gmsa:latest"
   

   Sostituisci LOCATION con la posizione in cui hai creato il repository Artifact Registry.

2. Crea l'immagine container:

   docker build -t $ImageTag -f Dockerfile-WINDOWS_LTSC2022 .
   

   Per creare immagini container per Windows Server 2019, imposta il parametro -f sul valore Dockerfile-WINDOWS_LTSC2019.

3. Esegui il push dell'immagine container in Artifact Registry:

   gcloud auth configure-docker $RegistryLocation --quiet
   docker push $ImageTag
   

4. Scarica il file YAML dell'applicazione e aggiornalo con la configurazione gMSA:

   $ApplicationYaml = Join-Path $env:TEMP "gmsa-test-webapp-01.yaml"
   
   (Get-Content gmsa-test-webapp-01.yaml.template) `
   -Replace '\${image_path}',$ImageTag | `
   Set-Content $ApplicationYaml
   

   Se crei nodi Windows Server 2019 in GKE, modifica il file YAML dell'applicazione e cambia il valore di cloud.google.com/gke-windows-os-version da 2022 a 2019.

5. Esegui il deployment dell'applicazione web nel cluster GKE:

   kubectl apply -f $ApplicationYaml
   

Verifica che l'applicazione web ASP.NET sia in esecuzione

L'applicazione web è esposta a internet utilizzando un servizio LoadBalancer. Prima di poter accedere all'applicazione web, devi attendere il deployment del pod e del servizio. Il deployment del pod può richiedere diversi minuti perché le immagini container Windows Server Core sono di grandi dimensioni (l'immagine dell'applicazione web è superiore a 7 GB) e il nodo impiega un po' di tempo per scaricare l'immagine e creare il container.

1. Controlla lo stato del pod:

   kubectl get pods --selector=app=gmsa-test-webapp-01
   

   Ripeti il comando finché l'output non mostra che lo stato del pod è Running:

   NAME                                   READY     STATUS    RESTARTS   AGE
   gmsa-test-webapp-01-76c6d64975-zrtgq   1/1       Running   0          28s
   

   Se lo stato del pod rimane In attesa e non cambia in ContainerCreating o Running, controlla l'immagine di origine del nodo Windows per assicurarti che sia Windows Server 2022. Puoi anche consultare la tabella di mapping delle versioni per vedere come le versioni di GKE vengono mappate alle versioni di Windows Server. Se le versioni non corrispondono, duplica il file Dockerfile-WINDOWS_LTSC2022, imposta l'immagine container di base nel nuovo file in modo che corrisponda alla versione di Windows Server dei tuoi nodi, quindi ripeti i passaggi per creare e distribuire l'applicazione web ASP.NET.

2. Controlla lo stato del servizio:

   kubectl get service --selector=app=gmsa-test-webapp-01
   

   Ripeti il comando finché l'output non mostra che il servizio ha un indirizzo IP esterno:

   NAME                   TYPE           CLUSTER-IP    EXTERNAL-IP      PORT(S)        AGE
   gmsa-test-webapp-01    LoadBalancer   10.44.2.112   external-ip    80:32233/TCP   17s
   

3. Prendi nota del valore external-ip nell'output, ti servirà in seguito.

Esegui test preliminari nell'applicazione web ASP.NET

Il pod è ora in esecuzione ed è accessibile da internet tramite un bilanciatore del carico di rete. Successivamente, esegui test preliminari per verificare che il container sia stato deployato correttamente e che disponga delle autorizzazioni per utilizzare la gMSA.

1. In un browser, vai a http://EXTERNAL-IP per visualizzare l'applicazione web di test gMSA.

   Sostituisci EXTERNAL-IP con l'indirizzo IP che hai ottenuto nella procedura precedente.

2. Scorri fino alla sezione Controlli preflight e poi fai clic sul pulsante Esegui controlli preflight per verificare che tutti i test siano stati superati.

   Se i test vengono superati, l'output è il seguente:

   [PASS]  Active Directory RSAT PowerShell Module Installed
   
   [PASS]  IIS Document Root found
           C:\inetpub\wwwroot\
   
   [PASS]  PowerShell Scripts Folder found
           C:\inetpub\wwwroot\Powershell\
   
   [PASS]  Container Diagnostic Script found
           C:\inetpub\wwwroot\Powershell\\containerDiag.ps1
   
   [PASS]  Domain Diagnostic Script found
           C:\inetpub\wwwroot\Powershell\\domainDiag.ps1
   
   [RES]   Result: PASS   All checks passed! Please proceed to run the different tests.
   

3. Scorri fino alla sezione Informazioni sul contenitore e poi fai clic sul pulsante Esegui script. Verifica che vengano visualizzate informazioni sul container e sul nodo e che non venga visualizzato alcun errore.

Utilizzare gMSA nei container Windows

Ora puoi verificare che la configurazione di gMSA funzioni correttamente eseguendo diversi test nell'applicazione web. Ciascuno dei test utilizza l'account di servizio gestito da Google per uno scopo diverso. Se tutti i test hanno esito positivo, hai configurato correttamente l'account del servizio gestito dal gruppo.

Convalidare la configurazione del contenitore gMSA

• Scorri fino alla sezione Connettività dominio, digita il nome del tuo gMSA (WebApp-01) nella casella Nome account, quindi fai clic su Esegui script. Attendi qualche secondo affinché i test vengano completati.

  L'output è simile al seguente:

  *****   C O N T A I N E R   D I A G N O S T I C S   *****
  
  [INFO]  Starting script execution at 01-05-2021-13:53:11
  
  [INFO]  Using gMSA: WebApp-01
  
  [PASS]  gMSA Account found in Active Directory
          CN=WebApp01,CN=Managed Service Accounts,DC=corp,DC=example,DC=com
  
  [PASS]  This Container (gmsa-test-webapp01-5bc485b8d5-9lbb7) is running on a GKE Windows Node that is authorized to use WebApp01
  
  [INFO]  Script execution complete at 01-05-2021-13:53:12
  
  *****      E N D   O F   D I A G N O S T I C S      *****
  

  Lo script utilizza due cmdlet di PowerShell per testare l'accesso all'account del servizio gestito dal gruppo:

  • Get-ADServiceAccount: Questo cmdlet recupera informazioni su un account del servizio gestito dal gruppo. Se questo cmdlet viene eseguito correttamente, il container è in esecuzione con un gMSA valido.
  • Test-ADServiceAccount: Questo cmdlet verifica se è possibile recuperare le credenziali gMSA. Se il cmdlet viene eseguito correttamente, il container viene eseguito in un nodo Windows Server che ha l'autorizzazione ad accedere alle credenziali gMSA.

Accedere con l'autenticazione di Windows

1. Nella barra di navigazione in alto della pagina, fai clic su Accedi.
2. Quando ti viene chiesto di inserire le tue credenziali, inserisci il nome utente e la password del dominio.

3. Se visualizzi la pagina Sicuro con i dati del tuo account e non ti vengono richieste le credenziali, il browser ha eseguito l'accesso automaticamente utilizzando la tua identità attuale.

   Una volta autenticato, viene visualizzata la pagina Sicuro. Assicurati di visualizzare le tre sezioni seguenti:

   • Informazioni utente: mostra il tuo nome utente e il tipo di autenticazione utilizzato.
   • Gruppi: mostra l'elenco dei gruppi a cui appartieni. I nomi dei gruppi nell'elenco vengono recuperati da Active Directory.
   • Attributi utente: mostra l'elenco degli attributi per l'utente forniti da Active Directory durante l'accesso. Le rivendicazioni di appartenenza al gruppo mostrano il SID del gruppo Active Directory, non i nomi.

Oltre a supportare l'autenticazione integrata di Windows, l'applicazione web ASP.NET può utilizzare il proprio gMSA per l'autenticazione quando chiama server remoti. Utilizzando gMSA, l'applicazione web e qualsiasi altra applicazione in esecuzione nel container Windows possono accedere alle risorse della rete che richiedono l'autenticazione di Windows, come le istanze di SQL Server e le condivisioni di rete basate su SMB.

Risoluzione dei problemi

Se visualizzi messaggi di errore durante la procedura di configurazione o durante il test dell'applicazione web, consulta le seguenti pagine per la risoluzione dei problemi:

• Risoluzione dei problemi di Windows Server su GKE
• Documentazione di Kubernetes sulla risoluzione dei problemi dei container Windows Server
• Documentazione Microsoft sulla risoluzione dei problemi relativi agli gMSA per i container Windows

Considerazioni aggiuntive per le applicazioni di produzione

Le istruzioni che hai seguito sono state scritte per fornire un percorso ottimale ai fini del tutorial. Per un ambiente di produzione, potresti apportare modifiche ad alcune procedure per rendere il risultato più solido, come descritto nelle sezioni seguenti.

Considerazioni sui pool di nodi Windows Server

Se prevedi di eseguire il deployment della tua applicazione che utilizza un account di servizio gestito da Google e l'applicazione supporta le sessioni client, ti consigliamo di creare almeno due nodi nel pool di nodi. La presenza di più nodi consente di utilizzare l'archiviazione delle sessioni out-of-process per verificare che l'applicazione possa gestire correttamente le sessioni distribuite.

In questo tutorial, creerai un singolo pool di nodi Windows Server per ospitare le tue applicazioni. Tuttavia, potrebbero esserci situazioni in cui vuoi creare più node pool Windows Server nel tuo cluster, ad esempio un pool di nodi con dischi permanenti HDD e un altro con dischi permanenti SSD. Se devi eseguire il deployment dell'applicazione in più node pool, fornisci un array di oggetti gruppo Active Directory al parametro PrincipalsAllowedToRetrieveManagedPassword quando crei la gMSA utilizzando il cmdlet New-ADServiceAccount.

Considerazioni su gMSA e nome entità servizio (SPN)

Se la tua applicazione richiede l'autenticazione degli utenti tramite Kerberos (ad esempio per supportare la delega dell'identità), devi accedere all'applicazione utilizzando un DNS personalizzato e configurare gMSA con un nome entità servizio (SPN). Ad esempio, se il bilanciatore del carico espone l'applicazione su GKE tramite https://my-web-app/, devi creare un SPN denominato HTTP/my-web-app in uno dei seguenti modi:

• Per una nuova gMSA, crea la gMSA con gli SPN richiesti. Ad esempio:

  New-ADServiceAccount -Name $GmsaName `
  -DNSHostName "$GmsaName.$AdDomain" `
  -PrincipalsAllowedToRetrieveManagedPassword $Groups `
  -ServicePrincipalNames "HTTP/my-web-app", "HTTP/my-web-app.$AdDomain"
  

• Per un gMSA esistente, chiama Set-ADServiceAccount per aggiungere gli SPN richiesti al gMSA. Ad esempio:

  Set-ADServiceAccount $GmsaName -ServicePrincipalNames @{Add="HTTP/my-web-app", "HTTP/my-web-app.$AdDomain"}
  

A seconda della configurazione DNS, potrebbe essere necessario creare un SPN per HTTP/www.my-web-app e HTTP/www.my-web-app.$AdDomain.

Per i protocolli non HTTP, ad esempio un servizio WCF configurato con l'associazione TCP e l'autenticazione Windows, potrebbe essere necessario creare altri tipi di SPN, ad esempio uno SPN HOST/.

Scelta dell'identità del pool di applicazioni IIS

Le applicazioni web ASP.NET vengono eseguite in Windows sul server web IIS. In IIS, puoi configurare gruppi di applicazioni web che condividono lo stesso processo. Questo gruppo è chiamato pool di applicazioni. Ogni pool di applicazioni è ospitato in un processo dedicato denominato w3wp. I pool di applicazioni IIS forniscono la configurazione del processo, ad esempio se il processo è a 32 o 64 bit, e l'identità del processo. Quando esegui un'applicazione web in un container Windows, imposti l'identità del processo del pool di applicazioni in modo che utilizzi l'account Servizio di rete integrato.

Gli account dell'identità del pool di applicazioni locale, supportati anche da IIS, non sono necessari nei container Windows. Gli account dell'identità del pool di applicazioni sono stati creati da IIS per applicare un confine di sicurezza locale quando vengono eseguite più applicazioni web sulla stessa istanza IIS. Con i container Windows, in cui ogni applicazione web è ospitata in un container separato, non è necessario creare un confine di sicurezza all'interno del container, perché il container stesso fornisce il confine di sicurezza.

Anche se l'identità del pool di applicazioni è configurata per utilizzare l'account di servizio di rete, se l'applicazione effettua una richiesta a una risorsa esterna che richiede l'autenticazione, l'applicazione si autentica utilizzando il gMSA configurato per il container Windows.