Szolgáltatásnév hitelesítő adatainak elforgatása az Azure Red Hat OpenShift -fürthöz (ARO)
A cikk a szolgáltatásnév hitelesítő adatainak az Azure Red Hat OpenShift-fürtökben (ARO) történő elforgatásához szükséges részleteket tartalmazza.
Előkészületek
A cikk feltételezi, hogy létezik egy meglévő ARO-fürt, amely a legújabb frissítéseket alkalmazza.
Az Azure CLI minimális követelményei a szolgáltatásnév hitelesítő adatainak ARO-fürtön belüli elforgatásához: 2.24.0.
Az Azure CLI-futtatás verziójának ellenőrzése:
# Azure CLI version
az --version
Az Azure CLI telepítéséhez vagy frissítéséhez kövesse az Azure CLI telepítését.
Az alábbi utasítások bash szintaxist használnak.
Szolgáltatásnév hitelesítő adatainak rotálása
Fontos
A szolgáltatásnév hitelesítő adatainak rotálása a fürt állapotától függően akár 2 órát is igénybe vehet.
A szolgáltatásnév hitelesítő adatainak rotálása két módszerrel érhető el:
- Szolgáltatásnév automatikus hitelesítő adatainak rotálása
- Felhasználó által megadott ügyfél-azonosító és ügyfél-titkos szolgáltatásnév hitelesítő adatainak rotálása
Szolgáltatásnév automatikus hitelesítő adatainak rotálása
Fontos
Az egyszerű szolgáltatás automatikus hitelesítő adatainak rotálásához az ARO-fürtöt az Azure CLI 2.24.0-s vagy újabb verziójával kell létrehozni.
Az automatikus szolgáltatásnév hitelesítő adatainak rotálása ellenőrzi, hogy a szolgáltatásnév létezik-e, és elforgatja vagy új szolgáltatásnevet hoz létre.
A szolgáltatásnév hitelesítő adatainak automatikus elforgatása a következő paranccsal:
# Automatically rotate service principal credentials
az aro update --refresh-credentials --name MyManagedCluster --resource-group MyResourceGroup
Felhasználó által megadott ügyfél-azonosító és ügyfél-titkos szolgáltatásnév hitelesítő adatainak rotálása
A szolgáltatásnév hitelesítő adatainak manuális elforgatása a felhasználó által megadott ügyfél-azonosítóval és titkos ügyfélkóddal az alábbi utasítások szerint:
Kérje le a szolgáltatásnév ügyfélazonosítóját (--client-id
), és állítsa be környezeti változóként SP_ID
.
# Retrieve the service principal clientId
SP_ID=$(az aro show --name MyManagedCluster --resource-group MyResourceGroup \
--query servicePrincipalProfile.clientId -o tsv)
Hozzon létre egy új biztonságos titkos kulcsot (--client-secret
) a szolgáltatásnévhez a SP_ID
fenti változó használatával. Az új biztonságos titkos kód tárolása környezeti változóként SP_SECRET
.
# Generate a new secure secret for the service principal
SP_SECRET=$(az ad sp credential reset --id $SP_ID --query password -o tsv)
A szolgáltatásnév hitelesítő adatainak elforgatása a fenti környezeti változók használatával.
# Rotate service principal credentials
az aro update --client-id $SP_ID --client-secret $SP_SECRET \
--name MyManagedCluster --resource-group MyResourceGroup
Hibaelhárítás
Alkalmazáspéldány lejárati dátuma
A szolgáltatásnév hitelesítő adatainak lejárati dátuma egy év, és az adott időkereten belül el kell forgatni.
Ha a lejárati dátum lejárt, a következő hibák lehetségesek:
Failed to refresh the Token for request to MyResourceGroup StatusCode=401
Original Error: Request failed. Status Code = '401'.
[with]
Response body: {"error":"invalid_client","error_description": The provided client secret keys are expired.
[or]
Response body: {"error":"invalid_client","error_description": Invalid client secret is provided.
A szolgáltatásnév hitelesítő adatainak lejárati dátumának ellenőrzéséhez futtassa a következőket:
# Service principal expiry in ISO 8601 UTC format
SP_ID=$(az aro show --name MyManagedCluster --resource-group MyResourceGroup \
--query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id $SP_ID --query "[].endDateTime" -o tsv
Ha a szolgáltatásnév hitelesítő adatai lejártak, frissítsen a két hitelesítőadat-rotációs módszer egyikével.
A fürt AAD-alkalmazása üres leírást tartalmazó ügyféltitkot tartalmaz
Az automatizált szolgáltatásnév hitelesítő adatainak rotálása esetén a következő hiba történik:
$ az aro update --refresh-credentials --name MyManagedCluster --resource-group MyResourceGroup
Cluster AAD application contains a client secret with an empty description.
Please either manually remove the existing client secret and run `az aro update --refresh-credentials`,
or manually create a new client secret and run `az aro update --client-secret <ClientSecret>`.
A fürt nem az Azure CLI 2.24.0-s vagy újabb verziójával lett létrehozva. Ehelyett használja a felhasználó által megadott ügyfél-azonosítót és ügyfél-titkos szolgáltatásnév hitelesítő adatait.
Az Azure CLI ARO frissítési súgója
További részletekért tekintse meg az Azure CLI ARO frissítési súgóparancsát:
# Azure CLI ARO update help
az aro update -h