Megosztás a következőn keresztül:

Azure Kubernetes Service-fürt hitelesítő adatainak frissítése vagy elforgatása

  • Cikk

A szolgáltatásnévvel létrehozott AKS-fürtök egyéves lejárati idővel rendelkeznek. A lejárati dátum közeledtével alaphelyzetbe állíthatja a hitelesítő adatokat, hogy a szolgáltatásnév további időtartamig ki legyen bővítve. Előfordulhat, hogy egy meghatározott biztonsági szabályzat részeként frissíteni vagy elforgatni szeretné a hitelesítő adatokat. A Microsoft Entra ID-val hitelesítési szolgáltatóként integrált AKS-fürtök két további identitással rendelkeznek: a Microsoft Entra Server Alkalmazással és a Microsoft Entra ügyfélalkalmazással. Ez a cikk bemutatja, hogyan frissítheti az AKS-fürtök szolgáltatásnevét és Microsoft Entra hitelesítő adatait.

Feljegyzés

Azt is megteheti, hogy a szolgáltatásnév helyett felügyelt identitást használ az engedélyekhez. A felügyelt identitások nem igényelnek frissítéseket vagy rotációkat. További információ: Felügyelt identitások használata.

Mielőtt elkezdené

Telepítenie és konfigurálnia kell az Azure CLI 2.0.65-ös vagy újabb verzióját. A verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.

Új szolgáltatásnév frissítése vagy létrehozása az AKS-fürthöz

Ha frissíteni szeretné egy AKS-fürt hitelesítő adatait, a következők közül választhat:

  • Frissítse a meglévő szolgáltatásnév hitelesítő adatait.
  • Hozzon létre egy új szolgáltatásnevet, és frissítse a fürtöt az új hitelesítő adatok használatára.

Figyelmeztetés

Ha új szolgáltatásnév létrehozása mellett dönt, várjon körülbelül 30 percet, amíg a szolgáltatásnév engedélyének propagálása minden régióban megtörténik. A nagy AKS-fürtök ezen hitelesítő adatok használatára való frissítése hosszú időt vehet igénybe.

Ellenőrizze a szolgáltatásnév lejárati dátumát

A szolgáltatásnév lejárati dátumának ellenőrzéséhez használja a az ad app credential list parancsot. Az alábbi példa a parancs használatával lekéri az $CLUSTER_NAME erőforráscsoport fürtjének $RESOURCE_GROUP_NAME szolgáltatásnév-azonosítóját az aks show . A szolgáltatásnév azonosítója egy SP_ID nevű változóként van beállítva.

SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
    --query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id "$SP_ID" --query "[].endDateTime" -o tsv

A szolgáltatásnév meglévő hitelesítő adatainak alaphelyzetbe állítása

Egy meglévő szolgáltatásnév hitelesítő adatainak frissítéséhez kérje le a fürt szolgáltatásnév-azonosítóját a az aks show parancs használatával. Az alábbi példa lekéri az $CLUSTER_NAME erőforráscsoport fürtjének azonosítóját $RESOURCE_GROUP_NAME . A SP_ID nevű változó a következő lépésben használt szolgáltatásnév-azonosítót tárolja. Ezek a parancsok a Bash parancsnyelvet használják.

Figyelmeztetés

Amikor az Azure-beli virtuálisgép-méretezési csoportokat használó AKS-fürtön alaphelyzetbe állítja a fürt hitelesítő adatait, a rendszer a csomópontok rendszerképének frissítésével frissíti a csomópontokat az új hitelesítő adatokkal.

SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
    --query servicePrincipalProfile.clientId -o tsv)

A szolgáltatásnév azonosítóját tartalmazó SP_ID változóval állítsa alaphelyzetbe a hitelesítő adatokat a az ad app credential reset parancs használatával. Az alábbi példa lehetővé teszi az Azure-platform számára, hogy új biztonságos titkos kulcsot hozzon létre a szolgáltatásnév számára, és azt egy SP_SECRET nevű változóként tárolja.

SP_SECRET=$(az ad app credential reset --id "$SP_ID" --query password -o tsv)

Ezután frissítenie kell az AKS-fürtöt a szolgáltatásnév hitelesítő adataival. Ez a lépés szükséges az AKS-fürt szolgáltatásnévének frissítéséhez.

Új egyszerű szolgáltatásnév létrehozása

Feljegyzés

Ha az előző szakaszban frissítette a szolgáltatásnév meglévő hitelesítő adatait, hagyja ki ezt a szakaszt, és ehelyett frissítse az AKS-fürtöt a szolgáltatásnév hitelesítő adataival.

Ha szolgáltatásnevet szeretne létrehozni, és frissíteni szeretné az AKS-fürtöt az új hitelesítő adatok használatára, használja a az ad sp create-for-rbac parancsot.

az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$SUBSCRIPTION_ID

A kimenet hasonló a következő példakimenethez. Jegyezze fel saját magát appId , és password használja a következő lépésben.

{
  "appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}

Definiálja a szolgáltatásnév azonosítójának és az ügyfél titkos kódjának változóit a az ad sp create-for-rbac parancs futtatásából származó kimenet használatával. A SP_ID az appId, a SP_SECRET pedig az Ön jelszava.

SP_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
SP_SECRET=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Ezután frissíti az AKS-fürtöt az új szolgáltatásnév hitelesítő adataival. Ez a lépés szükséges az AKS-fürtnek az új szolgáltatásnév hitelesítő adataival való frissítéséhez.

Az AKS-fürt frissítése szolgáltatásnév hitelesítő adataival

Fontos

Nagy fürtök esetén az AKS-fürt új szolgáltatásnévvel való frissítése hosszú időt vehet igénybe. Fontolja meg a csomópontok túlfeszültség-frissítési beállításainak áttekintését és testreszabását a frissítés során fellépő fennakadások minimalizálása érdekében. Kis méretű és közepes méretű fürtök esetén néhány percig tart, amíg az új hitelesítő adatok frissülnek a fürtben.

Frissítse az AKS-fürtöt az új vagy meglévő hitelesítő adatokkal a az aks update-credentials parancs futtatásával.

az aks update-credentials \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $CLUSTER_NAME \
    --reset-service-principal \
    --service-principal "$SP_ID" \
    --client-secret "${SP_SECRET}"

Az AKS-fürt frissítése új Microsoft Entra-alkalmazás hitelesítő adatokkal

Létrehozhat új Microsoft Entra-kiszolgáló- és ügyfélalkalmazásokat a Microsoft Entra integrációs lépéseinek követésével, vagy alaphelyzetbe állíthatja meglévő Microsoft Entra-alkalmazásait ugyanazzal a módszerrel, mint a szolgáltatásnév alaphelyzetbe állítása esetén. Ezt követően frissítenie kell a fürt Microsoft Entra-alkalmazás hitelesítő adatait a az aks update-credentials --reset-aad változókkal rendelkező paranccsal.

az aks update-credentials \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $CLUSTER_NAME \
    --reset-aad \
    --aad-server-app-id $SERVER_APPLICATION_ID \
    --aad-server-app-secret $SERVER_APPLICATION_SECRET \
    --aad-client-app-id $CLIENT_APPLICATION_ID

Következő lépések

Ebben a cikkben megismerhette a szolgáltatásnév és a Microsoft Entra-alkalmazás hitelesítő adatainak frissítését és elforgatását. Az identitások AKS-fürtön belüli számítási feladatokhoz való használatával kapcsolatos további információkért tekintse meg az AKS-hitelesítés és -engedélyezés ajánlott eljárásait.