Felügyelt identitás használata az Azure Kubernetes Service-ben (AKS)

Az Azure Kubernetes Service- (AKS-) fürtök identitást igényelnek az Azure-erőforrások, például a terheléselosztók és a felügyelt lemezek eléréséhez. Az identitás lehet felügyelt identitás vagy szolgáltatásnév.

Ez a cikk részletesen bemutatja, hogyan engedélyezheti a következő felügyelt identitástípusokat egy új vagy meglévő AKS-fürtön:

• Rendszer által hozzárendelt felügyelt identitás
• Saját felhasználó által hozzárendelt felügyelt identitás létrehozása
• Előre létrehozott Kubelet felügyelt identitás

Áttekintés

AKS-fürtök üzembe helyezésekor a rendszer automatikusan létrehoz egy rendszer által hozzárendelt felügyelt identitást, amelyet az Azure platform felügyel, így nem kell titkos kulcsokat kiépítenie vagy elforgatnia. További információkért tekintse meg az Azure-erőforrások felügyelt identitását.

Az AKS nem hoz létre automatikusan szolgáltatásnevet, ezért létre kell hoznia egyet. A szolgáltatásnevet használó fürtök végül lejárnak, és a szolgáltatásnevet meg kell újítani, hogy ne legyen hatással az identitással való fürthitelesítésre. A szolgáltatásnevek kezelése összetettebbé teszi a szolgáltatást, így egyszerűbb a felügyelt identitások használata. Ugyanezek az engedélykövetelmények vonatkoznak a szolgáltatásnevekre és a felügyelt identitásokra is. A felügyelt identitások tanúsítványalapú hitelesítést használnak. Minden felügyelt identitás hitelesítő adatai 90 napos lejárati idővel rendelkeznek, és 45 nap után lesznek beállítva.

Az AKS mind a rendszer által hozzárendelt, mind a felhasználó által hozzárendelt felügyelt identitástípusokat használja, és ezek az identitások nem módosíthatók. Ezeket az identitástípusokat nem szabad összekeverni a Microsoft Entra Számítási feladatok identitásával, amelyet podon futó alkalmazás használ.

Fontos

Az Azure Kubernetes Service nyílt forráskód Microsoft Entra pod által felügyelt identitása (előzetes verzió) 2022.10.24-én elavult, a projekt pedig 2023 szeptemberében archiválva lett. További információt az elavulásról szóló közleményben talál. Az AKS által felügyelt bővítmény 2024 szeptemberében kezdi elavulni.

Javasoljuk, hogy először tekintse át Microsoft Entra Számítási feladat ID áttekintést. Az Entra Számítási feladat ID hitelesítés felváltja a Microsoft Entra pod által felügyelt identitást (előzetes verzió), és ajánlott módszer arra, hogy egy podon futó alkalmazás hitelesítse magát más, az azt támogató Azure-szolgáltatásokon.

Mielőtt elkezdené

• Győződjön meg arról, hogy telepítve van az Azure CLI 2.23.0-s vagy újabb verziója. A verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.

• Az előre létrehozott kubelet felügyelt identitás használatához telepítenie kell az Azure CLI 2.26.0-s vagy újabb verzióját.

• A felügyelt identitás meglévő fürtön való frissítéséhez telepítve kell lennie az Azure CLI 2.49.0-s vagy újabb verziójának.

Korlátozások

• A felügyelt identitással kompatibilis fürtöket áthelyező vagy migráló bérlők nem támogatottak.
• Ha a fürtben engedélyezve van a Microsoft Entra pod által felügyelt identitás (aad-pod-identity) használata, a csomópontok által felügyelt identitás (NMI) podjai módosítják a csomópontok iptable-jait, hogy elfogják az Azure-példány metaadatainak (IMDS) végpontjára irányuló hívásokat. Ez a konfiguráció azt jelenti, hogy a metaadat-végpontra irányuló kéréseket az NMI elfogja, még akkor is, ha a pod nem használja aad-pod-identity. Az AzurePodIdentityException CRD konfigurálható úgy, hogy a CRD-ben definiált címkéknek megfelelő podból származó metaadat-végpontra irányuló kéréseket az aad-pod-identity NMI-ben történő feldolgozás nélkül lehessen megadni. Az AzurePodIdentityException CRD konfigurálásával ki kell zárni a kube-rendszer névterében aad-pod-identitycímkével ellátott kubernetes.azure.com/managedby: aks rendszer podokat.
  • További információ: Microsoft Entra ID-pod-identity letiltása egy adott podhoz vagy alkalmazáshoz.
  • A kivétel konfigurálásához telepítse a mikrofonkivételi YAML-t.
• Az AKS nem támogatja a rendszer által hozzárendelt felügyelt identitás használatát egyéni privát DNS-zóna használatakor.

Felügyelt identitások összegzése

Az AKS számos felügyelt identitást használ a beépített szolgáltatásokhoz és bővítményekhez.

Identitás	Név	Használati eset	Alapértelmezett engedélyek	Saját identitás létrehozása
Vezérlősík	AKS-fürt neve	Az AKS vezérlősík-összetevői használják a fürterőforrások kezelésére, beleértve a bejövő terheléselosztókat és az AKS által felügyelt nyilvános IP-címeket, a fürt automatikus skálázását, az Azure Disket, a Fájlokat és a Blob CSI-illesztőprogramokat.	Közreműködői szerepkör a Csomópont erőforráscsoporthoz	Támogatott
Kubelet	AKS-fürt név-ügynökkészlete	Hitelesítés az Azure Container Registry (ACR) használatával.	N/A (kubernetes v1.15+)	Támogatott
Alkalmazáson belüli	AzureNPM	Nincs szükség identitásra.	n/a	Nem
Alkalmazáson belüli	AzureCNI hálózatfigyelés	Nincs szükség identitásra.	n/a	Nem
Alkalmazáson belüli	azure-policy (gatekeeper)	Nincs szükség identitásra.	n/a	Nem
Alkalmazáson belüli	azure-policy	Nincs szükség identitásra.	n/a	Nem
Alkalmazáson belüli	Calico	Nincs szükség identitásra.	n/a	Nem
Alkalmazáson belüli	Irányítópult	Nincs szükség identitásra.	n/a	Nem
Alkalmazáson belüli	alkalmazás-útválasztás	Azure DNS- és Azure Key Vault-tanúsítványok kezelése	A Key Vault titkos kulcstartójának felhasználói szerepköre, a DNS-zónák DNZ-zóna közreműködői szerepköre, saját DNS privát DNS-zónák zóna-közreműködői szerepköre	Nem
Alkalmazáson belüli	HTTPApplicationRouting	Kezeli a szükséges hálózati erőforrásokat.	Olvasói szerepkör a csomópont erőforráscsoportjában, a DNS-zóna közreműködői szerepköre	Nem
Alkalmazáson belüli	Bejövő alkalmazásátjáró	Kezeli a szükséges hálózati erőforrásokat.	Közreműködői szerepkör a csomópont erőforráscsoporthoz	Nem
Alkalmazáson belüli	omsagent	AKS-metrikák azure monitorba küldésére szolgál.	Metrika közzétevői szerepkör figyelése	Nem
Alkalmazáson belüli	Virtuális csomópont (ACI Csatlakozás or)	Kezeli az Azure Container Instances (ACI) szükséges hálózati erőforrásait.	Közreműködői szerepkör a csomópont erőforráscsoporthoz	Nem
Alkalmazáson belüli	Költségelemzés	Költségfelosztási adatok gyűjtésére szolgál
Számítási feladatok identitása	Microsoft Entra számítási feladat azonosítója	Lehetővé teszi az alkalmazások számára a felhőbeli erőforrások biztonságos elérését a Microsoft Entra számítási feladatazonosítójával.	n/a	Nem

Felügyelt identitások engedélyezése új AKS-fürtön

Feljegyzés

Az AKS létrehoz egy felhasználó által hozzárendelt kubelet-identitást a csomópont erőforráscsoportjában, ha nem adja meg a saját kubelet felügyelt identitását.

Feljegyzés

Ha a fürt már használ felügyelt identitást, és az identitás módosult, például a fürt identitástípusát a rendszer által hozzárendeltről a felhasználó által hozzárendeltre frissíti, a vezérlősík összetevői késve váltanak az új identitásra. A vezérlősík összetevői a régi identitást használják a jogkivonat lejáratáig. A jogkivonat frissítése után átváltanak az új identitásra. Ez a folyamat több órát is igénybe vehet.

1. Hozzon létre egy Azure-erőforráscsoportot a az group create paranccsal.

   az group create --name myResourceGroup --location westus2
   

2. Hozzon létre egy AKS-fürtöt a az aks create paranccsal.

   az aks create -g myResourceGroup -n myManagedCluster --enable-managed-identity
   

3. Hitelesítő adatok lekérése a fürt eléréséhez a az aks get-credentials parancs használatával.

   az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
   

Felügyelt identitások engedélyezése meglévő AKS-fürtön

A rendszer által hozzárendelt felügyelt identitás használatához szolgáltatásnévvel rendelkező meglévő AKS-fürt frissítéséhez futtassa a az aks update parancsot.

az aks update -g myResourceGroup -n myManagedCluster --enable-managed-identity

A fürt frissítése után a vezérlősík és a podok a felügyelt identitást használják. A Kubelet az ügynökkészlet frissítéséig továbbra is használja a szolgáltatásnevet. A csomópontok parancsával az aks nodepool upgrade --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-image-only frissíthet egy felügyelt identitásra. A csomópontkészletek frissítése állásidőt okoz az AKS-fürt számára, mivel a csomópontkészletek csomópontjai kordonozott/ürített és újraimagozott állapotban vannak.

Feljegyzés

A fürt frissítésekor tartsa szem előtt az alábbi információkat:

• A frissítés csak akkor működik, ha egy VHD-frissítést fel kell használni. Ha a legújabb VHD-t futtatja, meg kell várnia, amíg a következő virtuális merevlemez elérhetővé válik a frissítés végrehajtásához.

• Az Azure CLI biztosítja, hogy a bővítmény engedélye megfelelően legyen beállítva az áttelepítés után. Ha nem az Azure CLI-t használja a migrálási művelet végrehajtásához, akkor egyedül kell kezelnie a bővítményi identitás engedélyét. Azure Resource Manager-sablont használó példáért lásd: Azure-szerepkörök hozzárendelése ARM-sablonokkal.

• Ha a fürt lemezképeket használt --attach-acr az Azure Container Registryből való lekéréshez, a fürt frissítése után futtatnia kell a az aks update --resource-group myResourceGroup --name myAKSCluster --attach-acr <ACR resource ID> parancsot, hogy a felügyelt identitáshoz használt újonnan létrehozott kubelet megkapja az engedélyt az ACR-ből való lekérésre. Ellenkező esetben a frissítés után nem tud lekérni az ACR-ből.

Szerepkör-hozzárendelés hozzáadása felügyelt identitáshoz

Amikor saját virtuális hálózatot hoz létre és használ, csatolja az Azure-lemezeket, a statikus IP-címet, az útvonaltáblát vagy a felhasználó által hozzárendelt kubelet-identitást, ahol az erőforrások a feldolgozó csomópont erőforráscsoportján kívül vannak, az Azure CLI automatikusan hozzáadja a szerepkör-hozzárendelést. Ha ARM-sablont vagy más módszert használ, a fürt által felügyelt identitás egyszerű azonosítójával kell elvégeznie egy szerepkör-hozzárendelést.

Ha nem az Azure CLI-t használja, de saját virtuális hálózatot használ, csatolja az Azure-lemezeket, a statikus IP-címet, az útvonaltáblát vagy a felhasználó által hozzárendelt kubelet-identitást, amely kívül esik a feldolgozó csomópont erőforráscsoportján, javasoljuk, hogy a vezérlősíkhoz felhasználó által hozzárendelt felügyelt identitást használjon. Ahhoz, hogy a vezérlősík rendszer által hozzárendelt felügyelt identitást használjon, nem tudjuk lekérni az identitásazonosítót a fürt létrehozása előtt, ami késlelteti a szerepkör-hozzárendelés érvénybe lépését.

A felügyelt identitás egyszerű azonosítójának lekérése

• Kérje le a meglévő identitás egyszerű azonosítóját a az identity show parancs használatával.

  az identity show --ids <identity-resource-id>
  

  A kimenetnek a következő példakimenethez kell hasonlítania:

  {
    "clientId": "<client-id>",
    "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity",
    "location": "eastus",
    "name": "myIdentity",
    "principalId": "<principal-id>",
    "resourceGroup": "myResourceGroup",
    "tags": {},
    "tenantId": "<tenant-id>",
    "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
  }
  

Szerepkör-hozzárendelés hozzáadása

Az alapértelmezett feldolgozócsomópont-erőforráscsoporton kívüli virtuális hálózat, csatolt Azure-lemez, statikus IP-cím vagy útvonaltábla esetében hozzá kell rendelnie a Contributor szerepkört az egyéni erőforráscsoporthoz.

• Rendelje hozzá a szerepkört Contributor az egyéni erőforráscsoporthoz a az role assignment create paranccsal.

  az role assignment create --assignee <control-plane-identity-principal-id> --role "Contributor" --scope "<custom-resource-group-resource-id>"
  

Ha a felhasználó által hozzárendelt kubelet-identitás az alapértelmezett feldolgozó csomópont erőforráscsoportján kívül van, a felügyelt identitáskezelő szerepkört kell hozzárendelnie a kubelet-identitáshoz a vezérlősík felügyelt identitásához.

• Rendelje hozzá a Managed Identity Operator szerepkört a kubelet-identitáshoz a az role assignment create paranccsal.

  az role assignment create --assignee  <control-plane-identity-principal-id> --role "Managed Identity Operator" --scope "<kubelet-identity-resource-id>"
  

Feljegyzés

A fürt felügyelt identitásához megadott engedélyek feltöltése akár 60 percet is igénybe vehet.

Saját felügyelt identitás létrehozása

Fürt létrehozása felhasználó által hozzárendelt felügyelt identitással

A vezérlősík egyéni, felhasználó által hozzárendelt felügyelt identitása lehetővé teszi a meglévő identitás elérését a fürt létrehozása előtt. Ez a funkció olyan forgatókönyveket tesz lehetővé, mint például az egyéni virtuális hálózat vagy az UDR kimenő típusa egy előre létrehozott felügyelt identitással.

Feljegyzés

Az AZURE US Government-felhőben található USDOD Central, USDOD East és USGov Iowa régiók nem támogatottak.

Az AKS létrehoz egy felhasználó által hozzárendelt kubelet-identitást a csomópont erőforráscsoportjában, ha nem adja meg a saját kubelet felügyelt identitását.

• Ha nem rendelkezik felügyelt identitással, hozzon létre egyet a az identity create paranccsal.

  az identity create --name myIdentity --resource-group myResourceGroup
  

  A kimenetnek a következő példakimenethez kell hasonlítania:

  {                                  
    "clientId": "<client-id>",
    "clientSecretUrl": "<clientSecretUrl>",
    "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
    "location": "westus2",
    "name": "myIdentity",
    "principalId": "<principal-id>",
    "resourceGroup": "myResourceGroup",                       
    "tags": {},
    "tenantId": "<tenant-id>",
    "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
  }
  

Feljegyzés

A fürt felügyelt identitásához megadott engedélyek feltöltése akár 60 percet is igénybe vehet.

• A fürt létrehozása előtt adja hozzá a felügyelt identitás szerepkör-hozzárendelését a az role assignment create parancs használatával.

• Hozza létre a fürtöt felhasználó által hozzárendelt felügyelt identitással.

  az aks create \
      --resource-group myResourceGroup \
      --name myManagedCluster \
      --network-plugin azure \
      --vnet-subnet-id <subnet-id> \
      --dns-service-ip 10.2.0.10 \
      --service-cidr 10.2.0.0/24 \
      --enable-managed-identity \
      --assign-identity <identity-resource-id>
  

Felügyelt identitás frissítése meglévő fürtön

Feljegyzés

A vezérlősík felügyelt identitásának migrálása a rendszer által hozzárendelt felhasználóhoz nem okoz leállást a vezérlősík és az ügynökkészletek esetében. Eközben a vezérlősík összetevői több órán át használják a régi rendszer által hozzárendelt identitást a következő jogkivonat frissítéséig.

• Ha nem rendelkezik felügyelt identitással, hozzon létre egyet a az identity create paranccsal.

  az identity create --name myIdentity --resource-group myResourceGroup
  

  A kimenetnek a következő példakimenethez kell hasonlítania:

  {                                  
    "clientId": "<client-id>",
    "clientSecretUrl": "<clientSecretUrl>",
    "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
    "location": "westus2",
    "name": "myIdentity",
    "principalId": "<principal-id>",
    "resourceGroup": "myResourceGroup",                       
    "tags": {},
    "tenantId": "<tenant-id>",
    "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
  }
  

• Miután létrehozta az egyéni felhasználó által hozzárendelt felügyelt identitást a vezérlősíkhoz, adja hozzá a felügyelt identitás szerepkör-hozzárendelését a az role assignment create parancs használatával.

• Frissítse a fürtöt a meglévő identitásokkal a az aks update parancs használatával. Győződjön meg arról, hogy megadja a vezérlősík felügyelt identitásának erőforrás-azonosítóját az assign-identity argumentum hozzáadásával.

  az aks update \
      --resource-group myResourceGroup \
      --name myManagedCluster \
      --enable-managed-identity \
      --assign-identity <identity-resource-id> 
  

  A saját kubelet felügyelt identitást használó sikeres fürtfrissítés kimenetének a következő példakimenethez kell hasonlítania:

    "identity": {
      "principalId": null,
      "tenantId": null,
      "type": "UserAssigned",
      "userAssignedIdentities": {
        "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
          "clientId": "<client-id>",
          "principalId": "<principal-id>"
        }
      }
    },
  

Előre létrehozott kubelet felügyelt identitás használata

A kubelet-identitás lehetővé teszi a meglévő identitás elérését a fürt létrehozása előtt. Ez a funkció olyan forgatókönyveket tesz lehetővé, mint például az ACR-hez való csatlakozás előre létrehozott felügyelt identitással.

Előre létrehozott kubelet-identitáskorlátozások

• Csak felhasználó által hozzárendelt felügyelt fürttel működik.
• A Microsoft Azure 21Vianet által üzemeltetett keleti és kínai északi régiója nem támogatott.

Felhasználó által hozzárendelt felügyelt identitások létrehozása

Vezérlősík felügyelt identitása

• Ha nem rendelkezik felügyelt identitással a vezérlősíkhoz, hozzon létre egyet a az identity create.

  az identity create --name myIdentity --resource-group myResourceGroup
  

  A kimenetnek a következő példakimenethez kell hasonlítania:

  {                                  
    "clientId": "<client-id>",
    "clientSecretUrl": "<clientSecretUrl>",
    "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
    "location": "westus2",
    "name": "myIdentity",
    "principalId": "<principal-id>",
    "resourceGroup": "myResourceGroup",                       
    "tags": {},
    "tenantId": "<tenant-id>",
    "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
  }
  

kubelet felügyelt identitás

• Ha nem rendelkezik kubelet felügyelt identitással, hozzon létre egyet a az identity create paranccsal.

  az identity create --name myKubeletIdentity --resource-group myResourceGroup
  

  A kimenetnek a következő példakimenethez kell hasonlítania:

  {
    "clientId": "<client-id>",
    "clientSecretUrl": "<clientSecretUrl>",
    "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity", 
    "location": "westus2",
    "name": "myKubeletIdentity",
    "principalId": "<principal-id>",
    "resourceGroup": "myResourceGroup",                       
    "tags": {},
    "tenantId": "<tenant-id>",
    "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
  }
  

Fürt létrehozása felhasználó által hozzárendelt kubelet-identitással

Most már létrehozhatja az AKS-fürtöt a meglévő identitásokkal. Az argumentum és a kubelet felügyelt identitás argumentum használatával adja meg a vezérlősík assign-identity felügyelt identitásának erőforrás-azonosítóját assign-kubelet-identity .

• Hozzon létre egy AKS-fürtöt a meglévő identitásokkal a az aks create parancs használatával.

  az aks create \
      --resource-group myResourceGroup \
      --name myManagedCluster \
      --network-plugin azure \
      --vnet-subnet-id <subnet-id> \
      --dns-service-ip 10.2.0.10 \
      --service-cidr 10.2.0.0/24 \
      --enable-managed-identity \
      --assign-identity <identity-resource-id> \
      --assign-kubelet-identity <kubelet-identity-resource-id>
  

  A saját kubelet felügyelt identitást használó sikeres AKS-fürtlétrehozásnak az alábbi példakimenethez kell hasonlítania:

    "identity": {
      "principalId": null,
      "tenantId": null,
      "type": "UserAssigned",
      "userAssignedIdentities": {
        "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
          "clientId": "<client-id>",
          "principalId": "<principal-id>"
        }
      }
    },
    "identityProfile": {
      "kubeletidentity": {
        "clientId": "<client-id>",
        "objectId": "<object-id>",
        "resourceId": "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity"
      }
    },
  

Meglévő fürt frissítése Kubelet-identitással

Figyelmeztetés

A Kubelet felügyelt identitásának frissítése frissíti a csomópontkészleteket, ami állásidőt okoz az AKS-fürt számára, mivel a csomópontkészletek csomópontjai kordonozódnak/ürítenek és újraépülnek.

Feljegyzés

Ha a fürt lemezképeket használt --attach-acr az Azure Container Registryből való lekéréshez, a fürt frissítése után futtatnia kell a az aks update --resource-group myResourceGroup --name myAKSCluster --attach-acr <ACR Resource ID> parancsot, hogy a felügyelt identitáshoz használt újonnan létrehozott kubelet megkapja az engedélyt az ACR-ből való lekérésre. Ellenkező esetben a frissítés után nem tud lekérni az ACR-ből.

Az AKS-fürt aktuális vezérlősík által felügyelt identitásának lekérése

1. Ellenőrizze, hogy az AKS-fürt a felhasználó által hozzárendelt felügyelt identitást használja-e a az aks show parancs használatával.

   az aks show -g <RGName> -n <ClusterName> --query "servicePrincipalProfile"
   

   Ha a fürt felügyelt identitást használ, a kimenet msi értékkel jelenik megclientId. Egy szolgáltatásnevet használó fürt objektumazonosítót jelenít meg. Példa:

   {
     "clientId": "msi"
   }
   

2. Miután meggyőződett arról, hogy a fürt felügyelt identitást használ, keresse meg a felügyelt identitás erőforrás-azonosítóját a az aks show paranccsal.

   az aks show -g <RGName> -n <ClusterName> --query "identity"
   

   Felhasználó által hozzárendelt felügyelt identitás esetén a kimenetnek az alábbi példakimenethez hasonlóan kell kinéznie:

   {
     "principalId": null,
     "tenantId": null,
     "type": "UserAssigned",
     "userAssignedIdentities": <identity-resource-id>
         "clientId": "<client-id>",
         "principalId": "<principal-id>"
   },
   

Fürt frissítése kubelet-identitással

1. Ha nem rendelkezik kubelet felügyelt identitással, hozzon létre egyet a az identity create paranccsal.

   az identity create --name myKubeletIdentity --resource-group myResourceGroup
   

   A kimenetnek a következő példakimenethez kell hasonlítania:

   {
     "clientId": "<client-id>",
     "clientSecretUrl": "<clientSecretUrl>",
     "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity",
     "location": "westus2",
     "name": "myKubeletIdentity",
     "principalId": "<principal-id>",
     "resourceGroup": "myResourceGroup",                       
     "tags": {},
     "tenantId": "<tenant-id>",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Frissítse a fürtöt a meglévő identitásokkal a az aks update parancs használatával. Győződjön meg arról, hogy a vezérlősíkhoz tartozó felügyelt identitás erőforrás-azonosítóját adja meg az assign-identity argumentum és az argumentum kubelet felügyelt identitásának assign-kubelet-identity hozzáadásával.

   az aks update \
       --resource-group myResourceGroup \
       --name myManagedCluster \
       --enable-managed-identity \
       --assign-identity <identity-resource-id> \
       --assign-kubelet-identity <kubelet-identity-resource-id>
   

   A saját kubelet felügyelt identitást használó sikeres fürtfrissítés kimenetének a következő példakimenethez kell hasonlítania:

     "identity": {
       "principalId": null,
       "tenantId": null,
       "type": "UserAssigned",
       "userAssignedIdentities": {
         "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
           "clientId": "<client-id>",
           "principalId": "<principal-id>"
         }
       }
     },
     "identityProfile": {
       "kubeletidentity": {
         "clientId": "<client-id>",
         "objectId": "<object-id>",
         "resourceId": "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity"
       }
     },
   

Következő lépések

• Az Azure Resource Manager-sablonok használatával felügyelt identitás-kompatibilis fürtöt hozhat létre.
• Megtudhatja, hogyan [használhatja a kubelogin][kubelogin-authentication] metódust az AKS-ben támogatott Microsoft Entra hitelesítési módszerekhez.