Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Clustery AKS vytvořené pomocí služebního hlavního objektu mají roční dobu vypršení platnosti. Při blížícím se datu vypršení platnosti můžete obnovit přihlašovací údaje, abyste hlavní službu rozšířili na další dobu. Přihlašovací údaje můžete také aktualizovat nebo otočit jako součást definovaných zásad zabezpečení. Clustery AKS integrované s ID Microsoft Entra jako zprostředkovatel ověřování mají dvě další identity: aplikaci Microsoft Entra Server a klientskou aplikaci Microsoft Entra. Tento článek podrobně popisuje, jak aktualizovat principál služby a přihlašovací údaje Microsoft Entra pro cluster AKS.
Poznámka
Případně můžete použít spravovanou identitu pro oprávnění místo aplikačního hlavního objektu. Spravované identity nevyžadují aktualizace ani obměny. Další informace najdete v tématu Použití spravovaných identit.
Než začnete
Potřebujete nainstalované a nakonfigurované Rozhraní příkazového řádku Azure CLI verze 2.0.65 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalovat nebo upgradovat, podívejte se na Install Azure CLI.
Aktualizujte nebo vytvořte nový služební objekt pro váš cluster AKS.
Pokud chcete aktualizovat přihlašovací údaje pro cluster AKS, můžete zvolit jednu z těchto akcí:
- Aktualizujte přihlašovací údaje pro existující službu služební účet.
- Vytvořte nový instanční objekt a aktualizujte cluster tak, aby používal tyto nové přihlašovací údaje.
Varování
Pokud se rozhodnete vytvořit nový instanční objekt, počkejte přibližně 30 minut, než se oprávnění instančního objektu rozšíří do všech oblastí. Dokončení aktualizace velkého clusteru AKS na používání těchto přihlašovacích údajů může trvat dlouhou dobu.
Zkontrolujte datum vypršení platnosti služebního objektu
Pro účely kontroly data vypršení platnosti vašeho služebního účtu použijte příkaz az ad app credential list. Následující příklad získá ID instančního objektu služby $CLUSTER_NAME pro cluster ve skupině prostředků $RESOURCE_GROUP_NAME pomocí příkazu az aks show. ID služby je nastaveno jako proměnná s názvem SP_ID.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id "$SP_ID" --query "[].endDateTime" -o tsv
Resetujte existující přihlašovací údaje služby service principal
Pokud chcete aktualizovat přihlašovací údaje pro existující instanční objekt, pomocí příkazu získejte ID instančního objektu vašeho clusteru az aks show . Následující příklad získá ID pro cluster $CLUSTER_NAME ve skupině prostředků $RESOURCE_GROUP_NAME. Proměnná s názvem SP_ID ukládá ID instančního objektu použité v dalším kroku. Tyto příkazy používají jazyk příkazů Bash.
Varování
Když resetujete přihlašovací údaje clusteru v clusteru AKS, který používá škálovací sady virtuálních počítačů Azure, dojde k upgradu image uzlu, aby se uzly aktualizovaly informacemi o nových přihlašovacích údajích.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
Pomocí proměnné SP_ID obsahující ID instančního objektu resetujte přihlašovací údaje pomocí az ad app credential reset příkazu. Následující příklad umožňuje platformě Azure vygenerovat nový zabezpečený tajný klíč pro instanční objekt a uložit ho jako proměnnou s názvem SP_SECRET.
SP_SECRET=$(az ad app credential reset --id "$SP_ID" --query password -o tsv)
Dále aktualizujete cluster AKS pomocí přihlašovacích údajů služebního principálu. Tento krok je nezbytný pro aktualizaci service principal ve vašem clusteru AKS.
Vytvoření nového objektu hlavní služby
Poznámka
Pokud jste aktualizovali stávající přihlašovací údaje instančního objektu v předchozí části, přeskočte tuto část a místo toho aktualizujte cluster AKS pomocí přihlašovacích údajů instančního objektu.
Pokud chcete vytvořit služební principál a aktualizovat cluster AKS tak, aby používal nové přihlašovací údaje, použijte příkaz az ad sp create-for-rbac.
az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$SUBSCRIPTION_ID
Výstup je podobný následujícímu příkladu výstupu. Poznamenejte si vlastní appId a password a použijte je v dalším kroku.
{
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}
Definujte proměnné pro ID služebního principála a tajný klíč klienta pomocí výstupu z az ad sp create-for-rbac spuštění příkazu.
SP_ID je appId a SP_SECRET je vaše heslo.
SP_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
SP_SECRET=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Dále aktualizujete cluster AKS pomocí nových přihlašovacích údajů služebního objektu. Tento krok je nezbytný k aktualizaci clusteru AKS s novým přihlašovacím údajem služby principal.
Aktualizace clusteru AKS pomocí přihlašovacích údajů služebního principalu
Důležité
U velkých clusterů může aktualizace clusteru AKS pomocí nového služebního uživatele trvat značně dlouho. Zvažte kontrolu a přizpůsobení nastavení přechodového upgrade uzlu, pro minimalizaci přerušení během aktualizace. U malých a středně velkého clusteru trvá aktualizace nových přihlašovacích údajů v clusteru několik minut.
Spuštěním az aks update-credentials příkazu aktualizujte cluster AKS pomocí nových nebo existujících přihlašovacích údajů.
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-service-principal \
--service-principal "$SP_ID" \
--client-secret "${SP_SECRET}"
Aktualizace clusteru AKS pomocí nových přihlašovacích údajů aplikace Microsoft Entra
Nové serverové a klientské aplikace Microsoft Entra můžete vytvořit pomocí kroků integrace Microsoft Entra nebo obnovit stávající aplikace Microsoft Entra stejným způsobem jako pro resetování instančního objektu. Potom je potřeba aktualizovat přihlašovací údaje aplikace Microsoft Entra pro cluster pomocí příkazu az aks update-credentials s použitím proměnné --reset-aad.
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-aad \
--aad-server-app-id $SERVER_APPLICATION_ID \
--aad-server-app-secret $SERVER_APPLICATION_SECRET \
--aad-client-app-id $CLIENT_APPLICATION_ID
Další kroky
V tomto článku jste se naučili, jak aktualizovat nebo obnovit klíč služby a přihlašovací údaje aplikace Microsoft Entra. Další informace o tom, jak používat správu identity pro úlohy v clusteru AKS, najdete v tématu Osvědčené postupy pro ověřování a autorizaci v AKS.