Microsoft выпустил обновление для своей службы Azure Kubernetes в программном обеспечении Azure Stack HCI, которое добавляет интеграцию с Active Directory.

Яндекс

Развернуто в форме предварительного просмотра В прошлом году появление службы Azure Kubernetes (AKS) в Azure Stack HCI было нацелено непосредственно на клиентов, опасающихся общедоступного облака Microsoft. Появление AKS-HCI означало, что разработчики теоретически получили согласованный опыт использования AKS в облаке и полностью локальном мире Azure Stack HCI. Действительно гибрид.

Однако, хотя Microsoft радостно раструбила о сильных сторонах безопасности AKS-HCI на запуск публичного превью, было признано, что некоторые из них еще не совсем готовы к общедоступному использованию, «эти и многие другие будут выпущены в преддверии общедоступности».

Войдите в интеграцию с Active Directory (AD), которая появилась в февральском обновлении. Дополнение к общедоступной предварительной версии обеспечивает единый вход через аутентификацию AD с использованием kubectl, а не аутентификацию клиента на основе сертификатов.

«Думайте о AD kubeconfig как о разновидности kubeconfig», — сказала Microsoft, имея в виду конфигурацию, хранящуюся на клиенте для подключения к api-серверу. По умолчанию AKS-HCI использует kubeconfig на основе сертификатов, содержащий подобные закрытые ключи.

«Если вредоносное ПО или злоумышленник получит доступ к этому файлу конфигурации, — признала компания, — они смогут получить доступ к api-серверу, и это будет похоже на получение ключей от королевства».

Взгляд microsoft на облачные ресурсы

По словам Microsoft, для Azure Stack потребуются специальные системные администраторы

ПРОЧИТАЙТЕ БОЛЬШЕ

Отсюда преимущества AD kubeconfig. Хотя подход на основе сертификатов все еще доступен, «AD kubeconfig можно свободно распространять без каких-либо проблем безопасности для более широкой группы пользователей».

Читайте также:
ServiceNow использует больше машинного обучения и младшего кода в выпуске Quebec, чтобы выступить в качестве всеобъемлющего уровня рабочего процесса.

Сервер Windows или узел контейнера даже не нужно присоединять к домену для использования этой функциональности, если сервер домена и узел контейнера синхронизированы по времени.

Используя протокол Kerberos, это полезное обновление, если вы приняли решение Microsoft (а если вы используете Azure Stack HCI, то, вероятно, так и есть).

Обновление также устраняет необходимость в DHCP-сервере и поддерживает полностью статические IP-среды, а для тех, кто хочет испытать AKS-HCI, но менее заинтересован в трате денег на оборудование только для тест-драйва, есть руководство о том, как использовать также доступна система на виртуальной машине Azure. ®