Megosztás a következőn keresztül:

OpenID Connect-szolgáltató létrehozása az Azure Kubernetes Service-ben (AKS)

  • Cikk

Az OpenID Connect (OIDC) kibővíti az OAuth 2.0 engedélyezési protokollt a Microsoft Entra ID által kiadott másik hitelesítési protokollként való használatra. Az OIDC használatával engedélyezheti az egyszeri bejelentkezést (SSO) az Azure Kubernetes Service (AKS) fürt OAuth-kompatibilis alkalmazásai között egy azonosító jogkivonatnak nevezett biztonsági jogkivonat használatával. Az AKS-fürttel engedélyezheti az OpenID Connect (OIDC) kiállítót, amely lehetővé teszi a Microsoft Entra ID vagy egy másik felhőszolgáltató identitás- és hozzáférés-kezelési platformja számára az API-kiszolgáló nyilvános aláíró kulcsainak felderítését.

Az AKS automatikusan és rendszeresen elforgatja a kulcsot. Ha nem szeretne várni, manuálisan és azonnal elforgathatja a kulcsot. Az OIDC-szolgáltató által kibocsátott jogkivonat maximális élettartama egy nap.

Figyelmeztetés

Ha engedélyezi az OIDC-kiállítót egy meglévő fürtben, az új értékre módosítja az aktuális szolgáltatásfiók-jogkivonat-kiállítót, ami időtúllépést okozhat az API-kiszolgáló újraindítása során. Ha a szolgáltatásjogkivonatot használó alkalmazás podjai sikertelen állapotban maradnak az OIDC-kiállító engedélyezése után, javasoljuk, hogy manuálisan indítsa újra a podokat.

Ebben a cikkben megtudhatja, hogyan hozhatja létre, frissítheti és kezelheti a fürt OIDC-kiállítóját.

Fontos

Miután engedélyezte az OIDC-kiállítót a fürtön, a letiltás nem támogatott.

A jogkivonatot rendszeresen frissíteni kell. Ha az SDK-t használja, a forgatás automatikus. Ellenkező esetben 24 óránként manuálisan kell frissítenie a jogkivonatot.

Előfeltételek

  • Az Azure CLI 2.42.0-s vagy újabb verziója. Futtassa az --version a verziót. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
  • Az AKS támogatja az OIDC-kiállítót az 1.22-es és újabb verzióban.

AKS-fürt létrehozása az OIDC-kiállítóval

AKS-fürtöt az az aks create paranccsal hozhat létre a paraméterrel az --enable-oidc-issuer OIDC-kiállító engedélyezéséhez. Az alábbi példa egy myAKSCluster nevű fürtöt hoz létre egy csomóponttal a myResourceGroupban:

az aks create \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --node-count 1 \
    --enable-oidc-issuer \
    --generate-ssh-keys

AKS-fürt frissítése OIDC-kiállítóval

Az AKS-fürtöt az az aks update paranccsal frissítheti a paraméterrel az --enable-oidc-issuer OIDC-kiállító engedélyezéséhez. Az alábbi példa egy myAKSCluster nevű fürtöt frissít:

az aks update --resource-group myResourceGroup --name myAKSCluster --enable-oidc-issuer

Az OIDC-kiállító URL-címének megjelenítése

Az OIDC-kiállító URL-címének lekéréséhez futtassa az az aks show parancsot. Cserélje le a fürt és az erőforráscsoport nevének alapértelmezett értékeit.

az aks show --name myAKScluster --resource-group myResourceGroup --query "oidcIssuerProfile.issuerUrl" -o tsv

Alapértelmezés szerint a kiállító az alap URL-címet https://{region}.oic.prod-aks.azure.comhasználja, ahol az érték {region} megegyezik az AKS-fürt üzembe helyezésének helyével.

Az OIDC-kulcs elforgatása

Az OIDC-kulcs elforgatásához futtassa az az aks oidc-issuer parancsot. Cserélje le a fürt és az erőforráscsoport nevének alapértelmezett értékeit.

az aks oidc-issuer rotate-signing-keys --name myAKSCluster --resource-group myResourceGroup

Fontos

A kulcs elforgatása után a régi kulcs (key1) 24 óra elteltével lejár. A régi kulcs (key1) és az új kulcs (key2) egyaránt érvényes a forgatás utáni 24 órán belül. Ha azonnal érvényteleníteni szeretné a régi kulcsot (kulcs1), akkor kétszer el kell forgatnia az OIDC-kulcsot, és újra kell indítania a podokat a tervezett szolgáltatásfiók-jogkivonatok használatával. Ezzel a folyamattal a 2. és a 3. kulcs érvényes, az 1. kulcs pedig érvénytelen.

Ellenőrizze az OIDC-kulcsokat

Az OIDC-kiállító URL-címének lekérése

Az OIDC-kiállító URL-címének lekéréséhez futtassa az az aks show parancsot. Cserélje le a fürt és az erőforráscsoport nevének alapértelmezett értékeit.

az aks show --name myAKScluster --resource-group myResourceGroup --query "oidcIssuerProfile.issuerUrl" -o tsv

A kimenetnek a következőhöz kell hasonlítania:

https://eastus.oic.prod-aks.azure.com/00000000-0000-0000-0000-000000000000/11111111-1111-1111-1111-111111111111/

Alapértelmezés szerint a kiállító az alap URL-címet https://{region}.oic.prod-aks.azure.com/{tenant_id}/{uuid}használja, ahol az érték {region} megegyezik az AKS-fürt üzembe helyezésének helyével. Az érték {uuid} az OIDC-kulcsot jelöli, amely véletlenszerűen generált guid minden egyes nem módosítható fürthöz.

A felderítési dokumentum lekérése

A felderítési dokumentum lekéréséhez másolja ki az URL-címet https://(OIDC issuer URL).well-known/openid-configuration , és nyissa meg a böngészőben.

A kimenetnek a következőhöz kell hasonlítania:

{
  "issuer": "https://eastus.oic.prod-aks.azure.com/00000000-0000-0000-0000-000000000000/00000000-0000-0000-0000-000000000000/",
  "jwks_uri": "https://eastus.oic.prod-aks.azure.com/00000000-0000-0000-0000-000000000000/00000000-0000-0000-0000-000000000000/openid/v1/jwks",
  "response_types_supported": [
    "id_token"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ]
}

A JWK-készlet dokumentumának lekérése

A JWK-készlet dokumentum lekéréséhez másolja ki a jwks_uri felderítési dokumentumból, és illesse át a böngésző címsorában.

A kimenetnek a következőhöz kell hasonlítania:

{
  "keys": [
    {
      "use": "sig",
      "kty": "RSA",
      "kid": "xxx",
      "alg": "RS256",
      "n": "xxxx",
      "e": "AQAB"
    },
    {
      "use": "sig",
      "kty": "RSA",
      "kid": "xxx",
      "alg": "RS256",
      "n": "xxxx",
      "e": "AQAB"
    }
  ]
}

A kulcsváltás során van még egy kulcs a felderítési dokumentumban.

Következő lépések

  • Tekintse meg az alkalmazás és egy külső identitásszolgáltató közötti megbízhatósági kapcsolat létrehozásának konfigurálását annak megértéséhez, hogy az összevont identitás hitelesítő adatai hogyan hoznak létre megbízhatósági kapcsolatot egy alkalmazás és egy külső identitásszolgáltató között.
  • Tekintse át Microsoft Entra Számítási feladat ID (előzetes verzió). Ez a hitelesítési módszer integrálva van a Kubernetes natív képességeivel, hogy összefésüljenek az alkalmazás nevében bármely külső identitásszolgáltatóval.
  • A podok hálózati forgalmának biztonságossá tételével megismerheti, hogyan használhatja a hálózati házirendmotort, és hogyan hozhat létre Kubernetes-hálózati házirendeket a podok közötti forgalom szabályozásához az AKS-ben.