تحديث بيانات الاعتماد أو تدويرها لنظام مجموعة Azure Kubernetes Service (AKS)
نظام مجموعات AKS التي تم إنشاؤها باستخدام أساس خدمة لها وقت انتهاء صلاحية لمدة سنة واحدة. كلما كنت بالقرب من تاريخ انتهاء الصلاحية، يمكنك إعادة تعيين بيانات الاعتماد لتوسيع أساس الخدمة لفترة إضافية من الزمن. قد تحتاج أيضا إلى تحديث بيانات الاعتماد أو تدويرها كجزء من نهج أمان محدد. تحتوي مجموعات AKS المدمجة مع معرف Microsoft Entra كموفر مصادقة على هويتين إضافيتين: تطبيق Microsoft Entra Server وMicrosoft Entra Client App. توضح هذه المقالة بالتفصيل كيفية تحديث كيان الخدمة وبيانات اعتماد Microsoft Entra لنظام مجموعة AKS.
إشعار
بدلا من ذلك، يمكنك استخدام هوية مدارة للحصول على أذونات بدلا من كيان الخدمة. لا تتطلب الهويات المدارة تحديثات أو عمليات تدوير. لمزيد من المعلومات، راجع استخدام الهويات المدارة.
قبل البدء
تحتاج إلى تثبيت الإصدار 2.0.65 من Azure CLI أو إصدار أحدث وتكوينه. قم بتشغيل az --version
للعثور على الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI.
تحديث أو إنشاء أساس خدمة جديد لنظام مجموعة AKS
عندما تريد تحديث بيانات الاعتماد الخاصة بمجموعة AKS، يمكنك اختيار إما:
- تحديث بيانات الاعتماد الخاصة بكيان الخدمة الموجودة.
- إنشاء خدمة أساسية جديدة وتحديث نظام المجموعة لاستخدام بيانات الاعتماد الجديدة هذه.
تحذير
إذا اخترت إنشاء أساس خدمة جديد، انتظر حوالي 30 دقيقة للحصول على إذن الخدمة الأساسي للنشر عبر كافة المناطق. قد يستغرق تحديث مجموعة AKS كبيرة لاستخدام بيانات الاعتماد هذه وقتا طويلا لإكمالها.
التحقق من تاريخ انتهاء الخدمة الرئيسية
للتحقق من تاريخ انتهاء صلاحية كيان الخدمة، استخدم az ad app credential list
الأمر . يحصل المثال التالي على معرف كيان الخدمة للمجموعة $CLUSTER_NAME
$RESOURCE_GROUP_NAME
في مجموعة الموارد باستخدام az aks show
الأمر . يتم تعيين معرف كيان الخدمة كمتغير يسمى SP_ID.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id "$SP_ID" --query "[].endDateTime" -o tsv
إعادة تعيين بيانات اعتماد كيان الخدمة الحالية
لتحديث بيانات الاعتماد لكيان خدمة موجود، احصل على معرف كيان الخدمة لنظام المجموعة باستخدام az aks show
الأمر . يحصل المثال التالي على معرف $CLUSTER_NAME
نظام المجموعة في $RESOURCE_GROUP_NAME
مجموعة الموارد. يخزن المتغير المسمى SP_ID معرف الخدمة الأساسي المستخدم في الخطوة التالية. تستخدم هذه الأوامر لغة أمر Bash.
تحذير
عند إعادة تعيين بيانات اعتماد نظام المجموعة على نظام مجموعة AKS يستخدم Azure Virtual Machine Scale Sets، يتم إجراء ترقية صورة عقدة لتحديث العقد بمعلومات بيانات الاعتماد الجديدة.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
استخدم المتغير SP_ID يحتوي على معرف كيان الخدمة لإعادة تعيين بيانات الاعتماد باستخدام az ad app credential reset
الأمر . يمكن المثال التالي النظام الأساسي Azure من إنشاء سر آمن جديد لكيان الخدمة وتخزينه كمتغير يسمى SP_SECRET.
SP_SECRET=$(az ad app credential reset --id "$SP_ID" --query password -o tsv)
بعد ذلك، يمكنك تحديث نظام مجموعة AKS باستخدام بيانات اعتماد كيان الخدمة. هذه الخطوة ضرورية لتحديث كيان الخدمة على نظام مجموعة AKS.
إنشاء كيان خدمة جديد
إشعار
إذا قمت بتحديث بيانات اعتماد كيان الخدمة الموجودة في القسم السابق، فتخط هذا القسم وقم بدلا من ذلك بتحديث نظام مجموعة AKS ببيانات اعتماد كيان الخدمة.
لإنشاء كيان خدمة وتحديث نظام مجموعة AKS لاستخدام بيانات الاعتماد الجديدة، استخدم az ad sp create-for-rbac
الأمر .
az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$SUBSCRIPTION_ID
الإخراج مشابه للإخراج المثال التالي. دون ملاحظة خاصة appId
بك واستخدامها password
في الخطوة التالية.
{
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}
حدد متغيرات للمعرف الأساسي للخدمة وسر العميل باستخدام الإخراج الخاص بك من تشغيل az ad sp create-for-rbac
الأمر. SP_ID هو appId، SP_SECRET هو كلمة المرور الخاصة بك.
SP_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
SP_SECRET=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
بعد ذلك، يمكنك تحديث نظام مجموعة AKS ببيانات اعتماد كيان الخدمة الجديدة. هذه الخطوة ضرورية لتحديث نظام مجموعة AKS ببيانات اعتماد كيان الخدمة الجديدة.
تحديث نظام مجموعة AKS باستخدام بيانات اعتماد كيان الخدمة
هام
بالنسبة للمجموعات الكبيرة، يمكن أن يستغرق تحديث نظام مجموعة AKS الخاص بك باستخدام كيان خدمة جديد وقتا طويلا لإكماله. ضع في اعتبارك مراجعة إعدادات ترقية طفرة العقدة وتخصيصها لتقليل التعطيل أثناء التحديث. بالنسبة للمجموعات الصغيرة والمتوسطة الحجم، يستغرق تحديث بيانات الاعتماد الجديدة في نظام المجموعة عدة دقائق.
قم بتحديث نظام مجموعة AKS ببيانات الاعتماد الجديدة أو الموجودة عن طريق تشغيل az aks update-credentials
الأمر .
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-service-principal \
--service-principal "$SP_ID" \
--client-secret "${SP_SECRET}"
تحديث نظام مجموعة AKS باستخدام بيانات اعتماد تطبيق Microsoft Entra الجديدة
يمكنك إنشاء خادم Microsoft Entra جديد وتطبيقات العميل باتباع خطوات تكامل Microsoft Entra، أو إعادة تعيين تطبيقات Microsoft Entra الموجودة باتباع نفس الأسلوب مثل إعادة تعيين كيان الخدمة. بعد ذلك، تحتاج إلى تحديث بيانات اعتماد تطبيق Microsoft Entra لنظام المجموعة باستخدام az aks update-credentials
الأمر مع متغيرات --reset-aad .
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-aad \
--aad-server-app-id $SERVER_APPLICATION_ID \
--aad-server-app-secret $SERVER_APPLICATION_SECRET \
--aad-client-app-id $CLIENT_APPLICATION_ID
الخطوات التالية
في هذه المقالة، تعلمت كيفية تحديث أو تدوير كيان الخدمة وبيانات اعتماد تطبيق Microsoft Entra. لمزيد من المعلومات حول كيفية استخدام هوية إدارة لأحمال العمل داخل مجموعة AKS، راجع أفضل الممارسات للمصادقة والتخويل في AKS.
Azure Kubernetes Service