Share via

Obměna instančního objektu v cílovém clusteru

  • Článek

Tento dokument obsahuje přehled procesu provádění obměny instančního objektu v cílovém clusteru Nexus. V souladu s osvědčenými postupy zabezpečení by se objekt zabezpečení měl pravidelně obměňovat. Kdykoli je podezření na integritu instančního objektu nebo je známo, že je ohrožena, měla by se okamžitě otočit.

Požadavky

  1. Je nutné nainstalovat [Install Azure CLI][installation-instruction].
  2. Vyžaduje se rozšíření rozhraní příkazového networkcloud řádku. networkcloud Pokud rozšíření není nainstalované, můžete ho nainstalovat podle zde uvedených kroků.
  3. Přístup k webu Azure Portal pro cílový cluster
  4. Musíte být přihlášeni ke stejnému předplatnému jako cílový cluster prostřednictvím az login
  5. Cílový cluster musí být spuštěný a v pořádku.
  6. Obměna instančního objektu by se měla provést před vypršením nakonfigurovaných přihlašovacích údajů.
  7. Instanční objekt by měl mít oprávnění vlastníka k předplatnému cílového clusteru.

Připojení sekundárních přihlašovacích údajů k existujícímu instančnímu objektu

Výpis informací o existujících přihlašovacích údajích pro instanční objekt

az ad app credential list --id "<SP Application (client) ID>"

K instančnímu objektu připojte sekundární přihlašovací údaje. Zkopírujte výsledné vygenerované heslo někam do bezpečí a postupujte podle osvědčených postupů.

az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"

Vytvoření nového instančního objektu

Nový instanční objekt by měl mít obor oprávnění vlastníka v cílovém předplatném clusteru.

az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>

Obměna instančního objektu v cílovém clusteru

Instanční objekt je možné v cílovém clusteru otočit zadáním nových informací, což může být pouze sekundární aktualizace přihlašovacích údajů, nebo může být novým instančním objektem pro cílový cluster.

az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>

Ověření nové aktualizace instančního objektu v cílovém clusteru

Zobrazení clusteru zobrazí seznam změn nového instančního objektu, pokud se otočí v cílovém clusteru.

az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"

Ve výstupu najdete podrobnosti pod clusterServicePrincipal vlastností.

"clusterServicePrincipal": {
      "applicationId": "<sp application id>",
      "principalId": "<sp principal id>",
      "tenantId": "tenant id"
    }

Poznámka:

Ujistěte se, že při aktualizaci používáte správné ID instančního objektu (ID objektu v Azure). Pro stejný název instančního objektu existují dvě různá ID objektů, která se dají načíst z Azure. Pokud chcete najít tu správnou, postupujte takto:

  1. Vyhněte se načtení ID objektu z instančního objektu typu aplikace, která se zobrazí při hledání instančního objektu na panelu hledání na webu Azure Portal.
  2. Místo toho vyhledejte hlavní název služby v části Podnikové aplikace ve službách Azure, abyste našli správné ID objektu a použili ho jako ID objektu.

Pokud máte stále dotazy, obraťte se na podporu. Další informace o plánech podpory najdete v tématu Plány podpory Azure.