Actualización o modificación de las credenciales de un clúster de Azure Kubernetes Service (AKS)
Artículo
Los clústeres de AKS creados con una entidad de servicio tiene un período de expiración de un año. A medida que se aproxima a la fecha de expiración, puede restablecer las credenciales para ampliar la entidad de servicio durante un período de tiempo adicional. También puede actualizar o girar las credenciales como parte de una directiva de seguridad definida. Los clústeres de AKS integrados con Microsoft Entra ID como proveedor de autenticación tienen dos identidades más: la aplicación Microsoft Entra Server y la aplicación cliente de Microsoft Entra. En este artículo se detalla cómo actualizar la entidad de servicio y las credenciales de Microsoft Entra para un clúster de AKS.
Nota
También puede usar una identidad administrada para los permisos en lugar de una entidad de servicio. Las identidades administradas no requieren actualizaciones ni rotaciones. Para más información, consulte Uso de identidades administradas.
Antes de empezar
Es preciso que esté instalada y configurada la versión 2.0.65 de la CLI de Azure, o cualquier otra posterior. Ejecute az --version para encontrar la versión. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.
Actualización o creación de una entidad de servicio nueva para el clúster de AKS
Cuando quiera actualizar las credenciales de un clúster de AKS, puede hacer alguna de las acciones siguientes:
Actualizar las credenciales de la entidad de servicio existente.
Crear a una entidad de servicio y actualizar el clúster para usar estas nuevas credenciales.
Advertencia
Si decide crear una entidad de servicio nueva, espere unos 30 minutos para que el permiso de la entidad de servicio se propague por todas las regiones. La actualización de un clúster de AKS grande para usar estas credenciales puede tardar mucho tiempo en completarse.
Comprobación de la fecha de expiración de la entidad de servicio
Para comprobar la fecha de expiración de la entidad de servicio, use el comando az ad app credential list. En el ejemplo siguiente, se obtiene el id. de entidad de servicio del clúster $CLUSTER_NAME en el grupo de recursos $RESOURCE_GROUP_NAME con el comando az aks show. El id. de la entidad de servicio se establece como una variable denominada SP_ID.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id "$SP_ID" --query "[].endDateTime" -o tsv
Restablecimiento de las credenciales de una entidad de servicio existente
Para actualizar las credenciales de una entidad de servicio existente, obtenga el id. de entidad de servicio del clúster mediante el comando az aks show. En el ejemplo siguiente, se obtiene el id. para el clúster $CLUSTER_NAME en el grupo de recursos $RESOURCE_GROUP_NAME. La variable denominada SP_ID almacena el id. de la entidad de servicio usado en el paso siguiente. Estos comandos usan el lenguaje de comandos de Bash.
Advertencia
Al restablecer las credenciales del clúster en un clúster de AKS que usa Azure Virtual Machine Scale Sets, se realiza una actualización de la imagen del nodo para actualizar los nodos con la nueva información de credenciales.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
Use la variable SP_ID que contiene el id. de la entidad de servicio para restablecer las credenciales mediante el comando az ad app credential reset. En el ejemplo siguiente se habilita la plataforma de Azure a fin de generar un nuevo secreto seguro para la entidad de servicio y almacenarlo como una variable denominada SP_SECRET.
Defina variables para el id. de la entidad de servicio y el secreto de cliente mediante la salida que genera la ejecución del comando az ad sp create-for-rbac. El valor de SP_ID es el id. de aplicación y el valor de SP_SECRET es su contraseña.
Actualización del clúster de AKS con las credenciales de la entidad de servicio
Importante
En el caso de los clústeres de gran tamaño, la actualización del clúster de AKS con una nueva entidad de servicio puede tardar mucho tiempo en completarse. Considere la posibilidad de revisar y personalizar la configuración de actualización de sobrecarga de nodo para minimizar la interrupción durante las actualizaciones. En el caso de los clústeres pequeños y medianos, las credenciales nuevas tardan varios minutos en actualizarse en el clúster.
Actualice el clúster de AKS con las credenciales nuevas o existentes ejecutando el comando az aks update-credentials.
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-service-principal \
--service-principal "$SP_ID" \
--client-secret "${SP_SECRET}"
Actualización del clúster de AKS con nuevas credenciales de aplicación de Microsoft Entra
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-aad \
--aad-server-app-id $SERVER_APPLICATION_ID \
--aad-server-app-secret $SERVER_APPLICATION_SECRET \
--aad-client-app-id $CLIENT_APPLICATION_ID
Pasos siguientes
En este artículo, ha aprendido a actualizar o girar las credenciales de la aplicación de Microsoft Entra y de entidad de servicio. A fin de obtener más información sobre cómo usar una administración de identidades para las cargas de trabajo de un clúster, vea los procedimientos recomendados para la autenticación y autorización en AKS.
Colaborar con nosotros en GitHub
El origen de este contenido se puede encontrar en GitHub, donde también puede crear y revisar problemas y solicitudes de incorporación de cambios. Para más información, consulte nuestra guía para colaboradores.
Comentarios de Azure Kubernetes Service
Azure Kubernetes Service es un proyecto de código abierto. Seleccione un vínculo para proporcionar comentarios:
Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.