Microsoft выпустил обновление для своей службы Azure Kubernetes в программном обеспечении Azure Stack HCI, которое добавляет интеграцию с Active Directory.

Развернуто в форме предварительного просмотра В прошлом году появление службы Azure Kubernetes (AKS) в Azure Stack HCI было нацелено непосредственно на клиентов, опасающихся общедоступного облака Microsoft. Появление AKS-HCI означало, что разработчики теоретически получили согласованный опыт использования AKS в облаке и полностью локальном мире Azure Stack HCI. Действительно гибрид.

Однако, хотя Microsoft радостно раструбила о сильных сторонах безопасности AKS-HCI на запуск публичного превью, было признано, что некоторые из них еще не совсем готовы к общедоступному использованию, «эти и многие другие будут выпущены в преддверии общедоступности».

Войдите в интеграцию с Active Directory (AD), которая появилась в февральском обновлении. Дополнение к общедоступной предварительной версии обеспечивает единый вход через аутентификацию AD с использованием kubectl, а не аутентификацию клиента на основе сертификатов.

«Думайте о AD kubeconfig как о разновидности kubeconfig», — сказала Microsoft, имея в виду конфигурацию, хранящуюся на клиенте для подключения к api-серверу. По умолчанию AKS-HCI использует kubeconfig на основе сертификатов, содержащий подобные закрытые ключи.

«Если вредоносное ПО или злоумышленник получит доступ к этому файлу конфигурации, — признала компания, — они смогут получить доступ к api-серверу, и это будет похоже на получение ключей от королевства».

Взгляд Microsoft на облачные ресурсы

По словам Microsoft, для Azure Stack потребуются специальные системные администраторы

ПРОЧИТАЙТЕ БОЛЬШЕ

Читайте также:
Новый недостаток выявлен в iPhone

Отсюда преимущества AD kubeconfig. Хотя подход на основе сертификатов все еще доступен, «AD kubeconfig можно свободно распространять без каких-либо проблем безопасности для более широкой группы пользователей».

Сервер Windows или узел контейнера даже не нужно присоединять к домену для использования этой функциональности, если сервер домена и узел контейнера синхронизированы по времени.

Используя протокол Kerberos, это полезное обновление, если вы приняли решение Microsoft (а если вы используете Azure Stack HCI, то, вероятно, так и есть).

Обновление также устраняет необходимость в DHCP-сервере и поддерживает полностью статические IP-среды, а для тех, кто хочет испытать AKS-HCI, но менее заинтересован в трате денег на оборудование только для тест-драйва, есть руководство о том, как использовать также доступна система на виртуальной машине Azure. ®