Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come identificare e risolvere l'errore AADSTS7000222 (BadRequest o InvalidClientSecret) che si verifica quando si tenta di creare o aggiornare un cluster del servizio Azure Kubernetes.
Prerequisiti
Sintomi
Quando si tenta di creare o aggiornare un cluster del servizio Azure Kubernetes, viene visualizzato uno dei messaggi di errore seguenti.
| Codice di errore | Messaggio |
|---|---|
BadRequest |
Le credenziali in ServicePrincipalProfile non sono valide. Per altri dettagli, vedere https://aka.ms/aks-sp-help . (Dettagli: adal: richiesta di aggiornamento non riuscita. Codice di stato = '401'. Corpo della risposta: {"error": "invalid_client", "error_description": "AADSTS7000222: le chiavi dei segreti client fornite per l'app '<application-id>' sono scadute. Visitare il portale di Azure per creare nuove chiavi per l'app: https://aka.ms/NewClientSecreto prendere in considerazione l'uso delle credenziali del certificato per una maggiore sicurezza: https://aka.ms/certCreds". |
InvalidClientSecret |
L'autenticazione del cliente non è valida per tenant: <tenant-id>: adal: richiesta di aggiornamento non riuscita. Codice di stato = '401'. Corpo della risposta: {"error": "invalid_client", "error_description": "AADSTS7000222: le chiavi dei segreti client fornite per l'app '<application-id>' sono scadute. Visitare il portale di Azure per creare nuove chiavi per l'app: https://aka.ms/NewClientSecreto prendere in considerazione l'uso delle credenziali del certificato per una maggiore sicurezza: https://aka.ms/certCreds". |
Motivo
La questione che genera questo avviso del principale del servizio si verifica di solito per uno dei motivi seguenti:
Il segreto del client è scaduto.
Sono state fornite credenziali non corrette.
Il principal service non esiste all'interno del tenant Microsoft Entra ID della sottoscrizione.
Verificare la causa
Esegui il seguente comando Azure CLI per recuperare il profilo del service principal per il tuo cluster AKS e controllare la data di scadenza del service principal:
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
In alternativa, è possibile verificare che il nome principale del servizio e il segreto siano corretti e non siano scaduti. Per fare questo, segui questi passaggi:
Nel portale di Azure, cercare e selezionare Microsoft Entra ID.
Nel riquadro di spostamento di Microsoft Entra ID selezionare Registrazioni app.
Nella scheda Applicazioni di proprietà selezionare l'applicazione interessata.
Individuare il nome del principal del servizio e i dati riservati, e verificare che siano corretti e aggiornati.
Soluzione
Nell'articolo Aggiornare o ruotare le credenziali per un cluster del servizio Azure Kubernetes seguire le istruzioni riportate in una delle sezioni di articolo seguenti, in base alle esigenze:
Usa le nuove credenziali del principale del servizio e segui le istruzioni nella sezione Aggiornare il cluster AKS con le credenziali del principale del servizio di tale articolo.
Maggiori informazioni
- Usare un'entità servizio con il servizio Azure Kubernetes ( in particolare la sezione Risoluzione dei problemi )
Contattaci per ricevere assistenza
In caso di domande, è possibile porre domande al supporto della community di Azure. È anche possibile inviare commenti e suggerimenti sul prodotto alla community di commenti e suggerimenti di Azure.