Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los clústeres de AKS creados con una entidad de servicio tienen una fecha de expiración de un año. A medida que se aproxima a la fecha de expiración, puede restablecer las credenciales para extender el principal de servicio por un periodo de tiempo adicional. También puede actualizar o rotar las credenciales como parte de una política de seguridad definida. Los clústeres de AKS integrados con Microsoft Entra ID como proveedor de autenticación tienen dos identidades más: la aplicación Microsoft Entra Server y la aplicación cliente de Microsoft Entra. En este artículo se describe cómo actualizar el principal de servicio y las credenciales de Microsoft Entra para un clúster de AKS.
Nota:
También puede usar una identidad administrada para los permisos en lugar de un principal de servicio. Las identidades administradas no requieren actualizaciones ni rotaciones. Para más información, consulte Uso de identidades administradas.
Antes de empezar
Es preciso que esté instalada y configurada la versión 2.0.65 de la CLI de Azure, o cualquier otra posterior. Ejecute az --version para encontrar la versión. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.
Actualizar o crear un nuevo principal de servicio para el clúster de AKS
Cuando quiera actualizar las credenciales de un clúster de AKS, puede hacer alguna de las acciones siguientes:
- Actualice las credenciales de la entidad de servicio existente.
- Crear un principal de servicio nuevo y actualizar el clúster para usar estas nuevas credenciales.
Advertencia
Si decide crear una entidad de servicio nueva, espere unos 30 minutos para que el permiso de la entidad de servicio se propague por todas las regiones. La actualización de un clúster de AKS grande para usar estas credenciales puede tardar mucho tiempo en completarse.
Verifica la fecha de vencimiento de tu entidad de servicio
Para comprobar la fecha de expiración del principal de servicio, use el comando az ad app credential list. En el ejemplo siguiente, se obtiene el ID del principal de servicio del clúster $CLUSTER_NAME en el grupo de recursos $RESOURCE_GROUP_NAME usando el comando az aks show. El ID de la entidad de servicio se establece como una variable denominada SP_ID.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id "$SP_ID" --query "[].endDateTime" -o tsv
Restablecer las credenciales de un principal de servicio existente
Para actualizar las credenciales de una entidad de servicio existente, obtenga el id. de entidad de servicio del clúster mediante el comando az aks show. En el ejemplo siguiente, se obtiene el id. para el clúster $CLUSTER_NAME en el grupo de recursos $RESOURCE_GROUP_NAME. La variable denominada SP_ID almacena el ID de principal de servicio usado en el paso siguiente. Estos comandos usan el lenguaje de comandos de Bash.
Advertencia
Al restablecer las credenciales del clúster en un clúster de AKS que usa Azure Virtual Machine Scale Sets, se realiza una actualización de la imagen del nodo para actualizar los nodos con la nueva información de credenciales.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
Use la variable SP_ID que contiene el ID del principal de servicio para restablecer las credenciales mediante el comando az ad app credential reset. En el ejemplo siguiente se habilita la plataforma de Azure a fin de generar un nuevo secreto seguro para la entidad de servicio y almacenarlo como una variable denominada SP_SECRET.
SP_SECRET=$(az ad app credential reset --id "$SP_ID" --query password -o tsv)
A continuación, actualice el clúster de AKS con las credenciales del principal de servicio. Este paso es necesario para actualizar el principal de servicio en el clúster de AKS.
Crea una nueva entidad de servicio
Nota:
Si ha actualizado las credenciales de la entidad de servicio existentes en la sección anterior, omita esta sección y, en su lugar, actualice el clúster de AKS con las credenciales de la entidad de servicio.
Para crear un principal de servicio y actualizar el clúster de AKS a fin de usar las credenciales nuevas, use el comando az ad sp create-for-rbac.
az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$SUBSCRIPTION_ID
La salida es similar a la del ejemplo siguiente. Tome nota de sus propios elementos appId y password para usarlos en el paso siguiente.
{
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}
Defina variables para el ID de principal del servicio y el secreto de cliente usando la salida del comando az ad sp create-for-rbac. El valor de SP_ID es el id. de aplicación y el valor de SP_SECRET es su contraseña.
SP_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
SP_SECRET=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
A continuación, actualice el clúster de AKS con las nuevas credenciales del principal de servicio. Este paso es necesario para actualizar el clúster de AKS con la nueva credencial de la entidad de servicio.
Actualiza el clúster de AKS con las credenciales del principal de servicio
Importante
En el caso de los clústeres de gran tamaño, la actualización del clúster de AKS con una nueva entidad de servicio puede tardar mucho tiempo en completarse. Considere la posibilidad de revisar y personalizar la configuración de actualización de sobrecarga de nodo para minimizar la interrupción durante las actualizaciones. En el caso de los clústeres pequeños y medianos, las credenciales nuevas tardan varios minutos en actualizarse en el clúster.
Actualice el clúster de AKS con las credenciales nuevas o existentes ejecutando el comando az aks update-credentials.
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-service-principal \
--service-principal "$SP_ID" \
--client-secret "${SP_SECRET}"
Actualización del clúster de AKS con nuevas credenciales de aplicación de Microsoft Entra
Puede crear nuevas aplicaciones cliente y servidor de Microsoft Entra siguiendo los pasos de integración de Microsoft Entra o restablezca las aplicaciones existentes de Microsoft Entra siguiendo el mismo método que para el restablecimiento de la entidad de servicio. Después, debe actualizar sus credenciales de aplicación de Microsoft Entra del clúster mediante el comando az aks update-credentials con las variables --reset-aad.
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-aad \
--aad-server-app-id $SERVER_APPLICATION_ID \
--aad-server-app-secret $SERVER_APPLICATION_SECRET \
--aad-client-app-id $CLIENT_APPLICATION_ID
Pasos siguientes
En este artículo, ha aprendido a actualizar o rotar las credenciales de entidad de servicio y de la aplicación de Microsoft Entra. A fin de obtener más información sobre cómo usar una administración de identidades para las cargas de trabajo de un clúster, vea los procedimientos recomendados para la autenticación y autorización en AKS.