Dieser Beitrag wurde ursprünglich als Artikel im SDN Magazine am13. Oktober2017 veröffentlicht. Im vergangenen Jahr habe ich mehrere Kunden auf ihrem Weg zu Containerized Delivery auf dem Microsoft-Stack unterstützt. In dieser Blogserie möchte ich acht Praktiken vorstellen, die ich beim Einsatz von Docker für die Containerized Delivery auf dem Microsoft-Stack gelernt habe, sowohl in einer Greenfield- als auch in einer Brownfield-Situation. Im vierten Blogpost dieser Serie möchte ich über Group Managed Service Accounts sprechen .
PRAXIS 4: Gruppenverwaltete Servicekonten
Viele bestehende .NET-Anwendungen verwenden Domänenkonten für die Authentifizierung, z.B. für die Verbindung mit SQL Server über die integrierte Windows-Authentifizierung. Die Tatsache, dass Windows-Container nicht mit der Domäne verbunden werden können, mag Sie überraschen, aber das ist so gewollt. Das Verbinden eines Computers mit dem AD ist etwas, das wir für eine langfristige Registrierung tun. Container kommen und gehen sehr häufig auf einem Rechner und dafür ist AD nicht gedacht. Folglich könnte dies zu Problemen bei der Registrierung führen. Glücklicherweise hatte das Windows Server-Team bereits eine Lösung parat, die es ermöglicht, Domänenkonten für die externe Authentifizierung innerhalb eines Containers zu nutzen. Diese Lösung wird Group Managed Service Accounts (gMSA) genannt. Die Idee hinter dieser Lösung ist, eine so genannte gMSA innerhalb von Active Directory zu erstellen, in der Sie auch angeben, welche Container-Hosts Zugriff auf dieses Konto haben. Dabei kann es sich um eine Liste von Container-Hosts oder eine Sicherheitsgruppe handeln, die alle Container-Hosts enthält, die in der Lage sein sollen, einen Container über dieses Konto auszuführen. Der nächste Schritt besteht darin, die Container-Hosts vorzubereiten und zu testen, ob sie auf die gMSA zugreifen können. Danach müssen Sie das CredentialSpec PowerShell-Modul installieren und verwenden, um die erforderlichen gMSA-Details in einem korrekten (JSON credential spec) Format auf Ihren Container-Hosts zu speichern.
Sobald die erforderlichen gMSA-Details gespeichert sind, können Sie die gespeicherten gMSA-Anmeldeinformationen nutzen, um externe Dienste unter der angegebenen gMSA von Ihrem Container aus zu authentifizieren. Das Einzige, was Sie in Ihrem Container sicherstellen müssen, ist, dass Ihre Dienste und andere Prozesse, die auf die externe Ressource zugreifen müssen, als 'Lokales System' oder 'Netzwerkdienst' laufen. Wenn Sie Ihren Container auf dem Container-Host starten, können Sie einen Docker-Run-Befehl mit dem Argument -security-opt "credentialspec=file://WebApplication1.json" ausführen, um die entsprechenden Anmeldeinformationen an Ihren Container weiterzugeben. Gleichzeitig können die Anwendungen innerhalb Ihres Containers auf die externe Ressource zugreifen. Eine ausführliche Anleitung finden Sie unter bit.ly/2tWGloy.
Mehr aus dieser Serie
- Übung 1 - Kleine wiederverwendbare Bildebenen
- Praxis 2 - Mehrstufige Builds
- Praxis 3 - Halten Sie Windows-Container auf dem neuesten Stand
- Praxis 4 - Gruppenverwaltete Servicekonten
- Praxis 5 - Sichere Lieferung in Containern
- Übung 6 - Der Umgang mit Geheimnissen
- Praxis 7 - Explizites Abhängigkeitsmanagement
- Praxis 8 - Umwelt als Code und Pipeline als individuelle Pipeline
Verfasst von
Cornell Knulst
Cornell works for Xpirit, Hilversum, The Netherlands, as a trainer/architect. He is specialized in the domain of Application Lifecycle Management and Continuous Delivery, with a special focus on Microsoft-based technologies.
Unsere Ideen
Weitere Blogs
Contact