Microsoft は、Azure Stack HCI ソフトウェア上の Azure Kubernetes Service に Active Directory との統合を追加するアップデートをリリースしました。
昨年プレビュー版として公開されたAzure Kubernetes Service (AKS) がAzure Stack HCIに登場したのは、Microsoftのパブリッククラウドに不安を抱える顧客を直接ターゲットとしていました。AKS-HCIの登場は、開発者が理論上、クラウドとオンプレミス環境であるAzure Stack HCIの両方で一貫したAKSエクスペリエンスを得られることを意味しました。まさにハイブリッドと言えるでしょう。
しかし、マイクロソフトはパブリック プレビューの開始時に AKS-HCI のセキュリティの強みを大々的に宣伝したものの、いくつかはまだ一般公開できる状態ではないと認め、「これらとその他の機能は、一般公開に向けてリリースされる予定です」と述べています。
2月のアップデートでActive Directory(AD)との統合が実現しました。パブリックプレビューへの追加により、証明書ベースのクライアント認証ではなく、kubectlを使用したAD認証によるシングルサインオンが可能になります。
「AD kubeconfigはkubeconfigの一種と考えてください」とMicrosoftは述べ、APIサーバーに接続するためにクライアントに保存される構成を指しています。AKS-HCIはデフォルトで、秘密鍵などを含む証明書ベースのkubeconfigを使用します。
「マルウェアや攻撃者がこの設定ファイルにアクセスできれば、APIサーバーへのアクセスも可能になり、それは王国の鍵を手に入れるようなものだ」と同社は認めている。
Azure Stackには特別なシステム管理者が必要だとMicrosoftが語る
続きを読む
これがAD kubeconfigの利点です。証明書ベースのアプローチは引き続き利用可能ですが、「AD kubeconfigはセキュリティ上の懸念なく、より広範なユーザーグループに自由に配布できます。」
ドメイン サーバーとコンテナー ホストの時間が同期されている限り、この機能を使用するために Windows サーバーまたはコンテナー ホストをドメインに参加させる必要はありません。
Kerberos プロトコルを利用するこのアップデートは、Microsoft のやり方を採用している場合に役立ちます (Azure Stack HCI を使用している場合は、おそらく採用しているでしょう)。
このアップデートでは、DHCP サーバーの必要性がなくなり、完全に静的な IP 環境がサポートされるようになりました。また、AKS-HCI を試してみたいけれど、テストのためだけにハードウェアにお金をかけたくないという人のために、Azure VM でシステムを起動する方法についてのガイドも用意されています。®
