APK Blog - Virtualization, Services, Datacenter, Infrastructure

ویژگی‌های جدید تشخیص هویت Container مایکروسافت

احراز هویت از بخش‌های مهم و اساسی همة برنامه‌های کاربردی است. در زمان احراز هویت کاربران در برنامه‌های کاربردی تحت وب و  یا در زمان تلاش برای دریافت اطلاعات از یک سرور پایگاه داده، اتصال کاربر نیاز است. برنامه‌های کاربردی Container شده نیز از این موضوع مستثنی نیستند، به همین دلیل است که از همان ابتدا در Windows Containerها از احراز هویت از طریق اکتیودایرکتوری پشتیبانی شده است. در ادامه شرح داده می‌شود که پس از ارائه‌ی Windows Server 2019، در سه سال گذشته برای آسان‌تر کردن و افزایش قابلیت اطمینان احراز هویت ویندوز کانتینر چه اقداماتی صورت گرفته است.

جهت مشاهده ویدئوی مقایسه مفهوم داکر و کانتینر در ساختار مجازی VMware به این لینک مراجعه نمایید.

افزایش قابلیت اطمینان در Container

همزمان با پشتیبانی از کانتینترها در ویندوز سرور 2016، مایکروسافت تلاش کرد تا تعاریف جدیدی از اینکه افراد چگونه برنامه‌های کاربردی خود را مدیریت می‌کنند، ارائه دهد. یکی از این نوآوری‌ها، استفاده از یک (Group Managed Service Account (gMSA برای جایگزینی احراز هویت کامپیوتر در Containerها بود. اکثر افراد پیش از روی کار آمدن Containerها، کامپیوتر خود را به دامین Join می‌کردند و از هویت فردی یا Service Account آن استفاده می‌کردند تا برنامة کاربردی را اجرا نمایند. Containerها را روی کار آمدند تا پیچیدگی‌های پیوند به دامین از بین بروند، چرا که با Join به دامین، مدیریت اکانت‌های کامپیوتری که در اکتیودایرکتوری ایجاد و پس از مدت کوتاهی حذف می‌شدند، دشوار می‌شد. با این حال همچنان نیاز بود که برنامه‌های کاربردی، از احراز هویت اکتیودایرکتوری استفاده کنند. برای حل این مشکل در Runtime یک gMSA به اکانت کامپیوتری Container اختصاص داده شود. گویی Container به دامین Join شده است، با این تفاوت که این گونه چندین Container می‌توانستند یک هویت واحد داشته باشند و همچنین با این روش دیگر لازم نیست اطلاعات اعتباری حساس در Container Image ذخیره گردند.

وقتی کاربران بیشتری شروع به استفاده از gMSA در طیف گسترده‌ای از برنامه‌های کاربردی کردند، دو مشکل شناسایی شد که بر قابلیت اطمینان gMSA در Containerها اثر می‌گذاشت:

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی شبکه و نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور

  1. اگر Hostname Container با نام gMSA مطابقت نمی‌کرد، ممکن بود قابلیت‌های خاصی چون احراز هویت NTLM ورودی و Role Lookupها در NET Membership از کار بیفتد. استفاده از gMSA جایگزین آسانی می‌باشد، اما مشکلات جدیدی را ایجاد می‌کند.
  2. وقتی کانتینرهای مختلف برای ارتباط با یک Domain Controller واحد، از یک Hostname واحد استفاده می‌کنند، آخرین کانتینر، مابقی Containerها را از دور خارج و اتصال آن‌ها را قطع می‌کند که نتیجة آن عدم احراز هویت سایرین می‌باشد.
مطالب مرتبط

برای پاسخ به این مسائل، اقداماتی انجام شد تا Container، خود را در شبکه به شکل دیگری معرفی کنند تا اطمینان حاصل شود بدون در نظر گرفتن Hostname، از نام gMSA برای احراز هویت استفاده می‌کند و همچنین اطمینان حاصل می‌شود که چند اتصال با هویت یکسان به طور کامل تحت پشتیبانی هستند. برای بهره‌وری از این عملکرد جدید، تنها لازم است Image و Host مربوط به Container خود را به Windows Server 2019 یا Windows 10 نسخة 1809 ارتقا داد.

به علاوه، اگر در نسخه‌های 1703، 1709 و 1803، کاربران قادر نبودند از gMSA برای احراز هویت در Containerهای قرارگرفته در محیط ایزوله‌شدة Hyper-V استفاده کنند، این مشکل در ویندوز سرور 2019 و Windows 10 نسخة 1809 حل شده است. در صورتی که کاربر نتواند ویندوز خود را به آخرین نسخه ارتقا دهد، می‌تواند به جای آن از gMSA با محیط ایزوله‌شدة Hyper-V در Windows Server 2016 و Windows 10 نسخة 1607  استفاده نماید.

بهبود مستندسازی و دسترسی

مایکروسافت روی ارتقای مستندسازی خود سرمایه‌گذاری کرده‌ است تا شروع کار با gMSA درWindows Container برای کاربران تسهیل شود.

همچنین دسترسی به ماژول PowerShell Credential Spec  تسهیل شده است که خود بخشی از ارتقای سند است. با این که Source Code هنوز در GitHub است، می‌توان به آسانی با اجرای Install-Module CredentialSpec، آن را از PowerShell Gallery دانلود نمود. علاوه بر این‌ها، چند اصلاح دیگر نیز صورت گرفته است که از آن جمله می‌توان به پشتیبان بهتر از Child Domain و اعتبارسنجی بهتر اطلاعات اکانت اشاره کرد.

پشتیبانی Kubernetes

با عرضه Kubernetes نسخة 1.14، مایکروسافت نسخه Alpha از gMSA در Windows Containerها را پشتیبانی می‌کند . Kubernetes به کپی شدن خودکار Credential Specها بر Worker Nodeها رسیدگی می‌کند و با اضافه کردن کنترل دسترسی نقش‌محور، تعیین می‌کند که کاربران می‌توانند برای کدامیک از gMSAها برنامه‌ریزی کنند. با این حال هنوز پشتیبانی عمومی gMSA آماده ارائه نیست، ولی می‌توان آن را با فعال کردن قابلیت‌های Alpha امتحان کرد.

 

اشتراک ایمیل