Megosztás a következőn keresztül:

Szolgáltatásnév hitelesítő adatainak elforgatása az Azure Red Hat OpenShift -fürthöz (ARO)

  • Cikk

A cikk a szolgáltatásnév hitelesítő adatainak az Azure Red Hat OpenShift-fürtökben (ARO) történő elforgatásához szükséges részleteket tartalmazza.

Előkészületek

A cikk feltételezi, hogy létezik egy meglévő ARO-fürt, amely a legújabb frissítéseket alkalmazza.

Az Azure CLI minimális követelményei a szolgáltatásnév hitelesítő adatainak ARO-fürtön belüli elforgatásához: 2.24.0.

Az Azure CLI-futtatás verziójának ellenőrzése:

# Azure CLI version
az --version

Az Azure CLI telepítéséhez vagy frissítéséhez kövesse az Azure CLI telepítését.

Az alábbi utasítások bash szintaxist használnak.

Szolgáltatásnév hitelesítő adatainak rotálása

Fontos

A szolgáltatásnév hitelesítő adatainak rotálása a fürt állapotától függően akár 2 órát is igénybe vehet.

A szolgáltatásnév hitelesítő adatainak rotálása két módszerrel érhető el:

Szolgáltatásnév automatikus hitelesítő adatainak rotálása

Fontos

Az egyszerű szolgáltatás automatikus hitelesítő adatainak rotálásához az ARO-fürtöt az Azure CLI 2.24.0-s vagy újabb verziójával kell létrehozni.

Az automatikus szolgáltatásnév hitelesítő adatainak rotálása ellenőrzi, hogy a szolgáltatásnév létezik-e, és elforgatja vagy új szolgáltatásnevet hoz létre.

A szolgáltatásnév hitelesítő adatainak automatikus elforgatása a következő paranccsal:

# Automatically rotate service principal credentials
az aro update --refresh-credentials --name MyManagedCluster --resource-group MyResourceGroup

Felhasználó által megadott ügyfél-azonosító és ügyfél-titkos szolgáltatásnév hitelesítő adatainak rotálása

A szolgáltatásnév hitelesítő adatainak manuális elforgatása a felhasználó által megadott ügyfél-azonosítóval és titkos ügyfélkóddal az alábbi utasítások szerint:

Kérje le a szolgáltatásnév ügyfélazonosítóját (--client-id), és állítsa be környezeti változóként SP_ID .

# Retrieve the service principal clientId
SP_ID=$(az aro show --name MyManagedCluster --resource-group MyResourceGroup \
    --query servicePrincipalProfile.clientId -o tsv)

Hozzon létre egy új biztonságos titkos kulcsot (--client-secret) a szolgáltatásnévhez a SP_ID fenti változó használatával. Az új biztonságos titkos kód tárolása környezeti változóként SP_SECRET .

# Generate a new secure secret for the service principal
SP_SECRET=$(az ad sp credential reset --id $SP_ID --query password -o tsv)

A szolgáltatásnév hitelesítő adatainak elforgatása a fenti környezeti változók használatával.

# Rotate service principal credentials
az aro update --client-id $SP_ID --client-secret $SP_SECRET \
    --name MyManagedCluster --resource-group MyResourceGroup

Hibaelhárítás

Alkalmazáspéldány lejárati dátuma

A szolgáltatásnév hitelesítő adatainak lejárati dátuma egy év, és az adott időkereten belül el kell forgatni.

Ha a lejárati dátum lejárt, a következő hibák lehetségesek:

Failed to refresh the Token for request to MyResourceGroup StatusCode=401
Original Error: Request failed. Status Code = '401'.
[with]
Response body: {"error":"invalid_client","error_description": The provided client secret keys are expired.
[or]
Response body: {"error":"invalid_client","error_description": Invalid client secret is provided.

A szolgáltatásnév hitelesítő adatainak lejárati dátumának ellenőrzéséhez futtassa a következőket:

# Service principal expiry in ISO 8601 UTC format
SP_ID=$(az aro show --name MyManagedCluster --resource-group MyResourceGroup \
    --query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id $SP_ID --query "[].endDateTime" -o tsv

Ha a szolgáltatásnév hitelesítő adatai lejártak, frissítsen a két hitelesítőadat-rotációs módszer egyikével.

A fürt AAD-alkalmazása üres leírást tartalmazó ügyféltitkot tartalmaz

Az automatizált szolgáltatásnév hitelesítő adatainak rotálása esetén a következő hiba történik:

$ az aro update --refresh-credentials --name MyManagedCluster --resource-group MyResourceGroup

Cluster AAD application contains a client secret with an empty description.
Please either manually remove the existing client secret and run `az aro update --refresh-credentials`,
or manually create a new client secret and run `az aro update --client-secret <ClientSecret>`.

A fürt nem az Azure CLI 2.24.0-s vagy újabb verziójával lett létrehozva. Ehelyett használja a felhasználó által megadott ügyfél-azonosítót és ügyfél-titkos szolgáltatásnév hitelesítő adatait.

Az Azure CLI ARO frissítési súgója

További részletekért tekintse meg az Azure CLI ARO frissítési súgóparancsát:

# Azure CLI ARO update help
az aro update -h