이 문서에서는 AKS(AADSTS7000222Microsoft Azure Kubernetes Service) 클러스터를 만들거나 업그레이드하려고 할 때 발생하는 오류(또는BadRequest)를 식별하고 해결하는 InvalidClientSecret 방법을 설명합니다.
필수 조건
증상
AKS 클러스터를 만들거나 업그레이드하려고 하면 다음 오류 메시지 중 하나가 표시됩니다.
| 오류 코드 | 메시지 |
|---|---|
BadRequest |
ServicePrincipalProfile의 자격 증명이 잘못되었습니다. 자세한 내용은 https://aka.ms/aks-sp-help를 참조하세요. (세부 정보: adal: 새로 고침 요청이 실패했습니다. 상태 코드 = '401'. 응답 본문: {"error": "invalid_client", "error_description": "AADSTS7000222: 앱 '<application-id>'에 대해 제공된 클라이언트 비밀 키가 만료되었습니다. Azure Portal을 방문하여 앱 https://aka.ms/NewClientSecret에 대한 새 키를 만들거나 보안 https://aka.ms/certCreds강화를 위해 인증서 자격 증명을 사용하는 것이 좋습니다. " |
InvalidClientSecret |
테넌트에 <대해 고객 인증이 유효하지 않습니다. tenant-id>: adal: 새로 고침 요청이 실패했습니다. 상태 코드 = '401'. 응답 본문: {"error": "invalid_client", "error_description": "AADSTS7000222: 앱 '<application-id>'에 대해 제공된 클라이언트 비밀 키가 만료되었습니다. Azure Portal을 방문하여 앱 https://aka.ms/NewClientSecret에 대한 새 키를 만들거나 보안 https://aka.ms/certCreds강화를 위해 인증서 자격 증명을 사용하는 것이 좋습니다. " |
원인
이 서비스 주체 경고를 생성하는 문제는 일반적으로 다음 이유 중 하나로 발생합니다.
클라이언트 암호가 만료되었습니다.
잘못된 자격 증명이 제공되었습니다.
서비스 주체는 구독의 Microsoft Entra ID 테넌트 내에 존재하지 않습니다.
원인 확인
다음 명령을 사용하여 AKS 클러스터의 서비스 주체 프로필을 검색하고 서비스 주체의 만료 날짜를 확인합니다. AKS 리소스 그룹 및 클러스터 이름에 적절한 변수를 설정해야 합니다.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME \
--name $AKS_CLUSTER_NAME \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
또는 서비스 주체 이름과 비밀이 올바르고 만료되지 않았는지 확인할 수 있습니다. 이렇게 하려면 다음 단계를 수행하세요.
Azure Portal에서 Microsoft Entra ID를 검색하여 선택합니다.
Microsoft Entra ID의 탐색 창에서 앱 등록 선택합니다.
소유 애플리케이션 탭에서 영향을 받는 애플리케이션을 선택합니다.
서비스 주체 이름 및 비밀 정보를 찾고 정보가 올바르고 최신인지 확인합니다.
솔루션
AKS 클러스터 문서의 자격 증명 업데이트 또는 회전에서 다음 문서 섹션 중 하나의 지침을 적절하게 따릅니다.
새 서비스 주체 자격 증명을 사용하여 해당 문서의 서비스 주체 자격 증명 섹션을 사용하여 AKS 클러스터 업데이트의 지침을 따릅니다.
자세한 정보
- AKS(Azure Kubernetes Service) 에서 서비스 주체 사용(특히 문제 해결 섹션)
도움을 요청하십시오.
질문이 있는 경우 Azure 커뮤니티 지원을 요청할 수 있습니다. Azure 피드백 커뮤니티에 제품 피드백을 제출할 수도 있습니다.