Azure Kubernetes Service-fürt hitelesítő adatainak frissítése vagy elforgatása
A szolgáltatásnévvel létrehozott AKS-fürtök egyéves lejárati idővel rendelkeznek. A lejárati dátum közeledtével alaphelyzetbe állíthatja a hitelesítő adatokat, hogy a szolgáltatásnév további időtartamig ki legyen bővítve. Előfordulhat, hogy egy meghatározott biztonsági szabályzat részeként frissíteni vagy elforgatni szeretné a hitelesítő adatokat. A Microsoft Entra ID-val hitelesítési szolgáltatóként integrált AKS-fürtök két további identitással rendelkeznek: a Microsoft Entra Server Alkalmazással és a Microsoft Entra ügyfélalkalmazással. Ez a cikk bemutatja, hogyan frissítheti az AKS-fürtök szolgáltatásnevét és Microsoft Entra hitelesítő adatait.
Megjegyzés:
Azt is megteheti, hogy a szolgáltatásnév helyett felügyelt identitást használ az engedélyekhez. A felügyelt identitások nem igényelnek frissítéseket vagy rotációkat. További információ: Felügyelt identitások használata.
Előkészületek
Telepítenie és konfigurálnia kell az Azure CLI 2.0.65-ös vagy újabb verzióját. A verzió azonosításához futtassa a következőt: az --version
. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
Új szolgáltatásnév frissítése vagy létrehozása az AKS-fürthöz
Ha frissíteni szeretné egy AKS-fürt hitelesítő adatait, a következők közül választhat:
- Frissítse a meglévő szolgáltatásnév hitelesítő adatait.
- Hozzon létre egy új szolgáltatásnevet, és frissítse a fürtöt az új hitelesítő adatok használatára.
Figyelmeztetés:
Ha új szolgáltatásnév létrehozása mellett dönt, várjon körülbelül 30 percet, amíg a szolgáltatásnév engedélyének propagálása minden régióban megtörténik. A nagy AKS-fürtök ezen hitelesítő adatok használatára való frissítése hosszú időt vehet igénybe.
Ellenőrizze a szolgáltatásnév lejárati dátumát
A szolgáltatásnév lejárati dátumának ellenőrzéséhez használja a az ad app credential list
parancsot. Az alábbi példa lekéri a myAKSCluster nevű fürt szolgáltatásnév-azonosítóját a myResourceGroup erőforráscsoportban a az aks show
parancs használatával. A szolgáltatásnév azonosítója egy SP_ID nevű változóként van beállítva.
SP_ID=$(az aks show --resource-group myResourceGroup --name myAKSCluster \
--query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id "$SP_ID" --query "[].endDateTime" -o tsv
A szolgáltatásnév meglévő hitelesítő adatainak alaphelyzetbe állítása
Egy meglévő szolgáltatásnév hitelesítő adatainak frissítéséhez kérje le a fürt szolgáltatásnév-azonosítóját a az aks show
parancs használatával. Az alábbi példa lekéri a myAKSCluster nevű fürt azonosítóját a myResourceGroup erőforráscsoportban. A SP_ID nevű változó a következő lépésben használt szolgáltatásnév-azonosítót tárolja. Ezek a parancsok a Bash parancsnyelvet használják.
Figyelmeztetés:
Amikor az Azure-beli virtuálisgép-méretezési csoportokat használó AKS-fürtön alaphelyzetbe állítja a fürt hitelesítő adatait, a rendszer a csomópontok rendszerképének frissítésével frissíti a csomópontokat az új hitelesítő adatokkal.
SP_ID=$(az aks show --resource-group myResourceGroup --name myAKSCluster \
--query servicePrincipalProfile.clientId -o tsv)
A szolgáltatásnév azonosítóját tartalmazó SP_ID változóval állítsa alaphelyzetbe a hitelesítő adatokat a az ad app credential reset
parancs használatával. Az alábbi példa lehetővé teszi az Azure-platform számára, hogy új biztonságos titkos kulcsot hozzon létre a szolgáltatásnév számára, és azt egy SP_Standard kiadás CRET nevű változóként tárolja.
SP_SECRET=$(az ad app credential reset --id "$SP_ID" --query password -o tsv)
Ezután frissítenie kell az AKS-fürtöt a szolgáltatásnév hitelesítő adataival. Ez a lépés szükséges az AKS-fürt szolgáltatásnévének frissítéséhez.
Új egyszerű szolgáltatásnév létrehozása
Megjegyzés:
Ha az előző szakaszban frissítette a szolgáltatásnév meglévő hitelesítő adatait, hagyja ki ezt a szakaszt, és ehelyett frissítse az AKS-fürtöt a szolgáltatásnév hitelesítő adataival.
Ha szolgáltatásnevet szeretne létrehozni, és frissíteni szeretné az AKS-fürtöt az új hitelesítő adatok használatára, használja a az ad sp create-for-rbac
parancsot.
az ad sp create-for-rbac --role Contributor --scopes /subscriptions/mySubscriptionID
A kimenet hasonló a következő példakimenethez. Jegyezze fel saját magát appId
, és password
használja a következő lépésben.
{
"appId": "7d837646-b1f3-443d-874c-fd83c7c739c5",
"name": "7d837646-b1f3-443d-874c-fd83c7c739c",
"password": "a5ce83c9-9186-426d-9183-614597c7f2f7",
"tenant": "a4342dc8-cd0e-4742-a467-3129c469d0e5"
}
Definiálja a szolgáltatásnév azonosítójának és az ügyfél titkos kódjának változóit a az ad sp create-for-rbac
parancs futtatásából származó kimenet használatával. A SP_ID az appId, a SP_Standard kiadás CRET pedig az Ön jelszava.
SP_ID=7d837646-b1f3-443d-874c-fd83c7c739c5
SP_SECRET=a5ce83c9-9186-426d-9183-614597c7f2f7
Ezután frissíti az AKS-fürtöt az új szolgáltatásnév hitelesítő adataival. Ez a lépés szükséges az AKS-fürtnek az új szolgáltatásnév hitelesítő adataival való frissítéséhez.
Az AKS-fürt frissítése szolgáltatásnév hitelesítő adataival
Fontos
Nagy fürtök esetén az AKS-fürt új szolgáltatásnévvel való frissítése hosszú időt vehet igénybe. Fontolja meg a csomópontok túlfeszültség-frissítési beállításainak áttekintését és testreszabását a frissítés során fellépő fennakadások minimalizálása érdekében. Kis méretű és közepes méretű fürtök esetén néhány percig tart, amíg az új hitelesítő adatok frissülnek a fürtben.
Frissítse az AKS-fürtöt az új vagy meglévő hitelesítő adatokkal a az aks update-credentials
parancs futtatásával.
az aks update-credentials \
--resource-group myResourceGroup \
--name myAKSCluster \
--reset-service-principal \
--service-principal "$SP_ID" \
--client-secret "${SP_SECRET}"
Az AKS-fürt frissítése új Microsoft Entra-alkalmazás hitelesítő adatokkal
Létrehozhat új Microsoft Entra-kiszolgáló- és ügyfélalkalmazásokat a Microsoft Entra integrációs lépéseinek követésével, vagy alaphelyzetbe állíthatja meglévő Microsoft Entra-alkalmazásait ugyanazzal a módszerrel, mint a szolgáltatásnév alaphelyzetbe állítása esetén. Ezt követően frissítenie kell a fürt Microsoft Entra-alkalmazás hitelesítő adatait a az aks update-credentials
--reset-aad változókkal rendelkező paranccsal.
az aks update-credentials \
--resource-group myResourceGroup \
--name myAKSCluster \
--reset-aad \
--aad-server-app-id <SERVER APPLICATION ID> \
--aad-server-app-secret <SERVER APPLICATION SECRET> \
--aad-client-app-id <CLIENT APPLICATION ID>
Következő lépések
Ebben a cikkben megismerhette a szolgáltatásnév és a Microsoft Entra-alkalmazás hitelesítő adatainak frissítését és elforgatását. Az identitások AKS-fürtön belüli számítási feladatokhoz való használatával kapcsolatos további információkért tekintse meg az AKS-hitelesítés és -engedélyezés ajánlott eljárásait.