Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
AKS-clusters die zijn gemaakt met een service-principal, hebben een verlooptijd van één jaar. Wanneer u de vervaldatum nadert, kunt u de inloggegevens vernieuwen om de service-account voor een extra periode te verlengen. U kunt ook overwegen om de referenties bij te werken of te rouleren als een onderdeel van een gedefinieerd beveiligingsbeleid. AKS-clusters die zijn geïntegreerd met Microsoft Entra ID als verificatieprovider hebben nog twee identiteiten: de Microsoft Entra Server-app en de Microsoft Entra Client-app. In dit artikel wordt beschreven hoe u de referenties van de service-principal en Microsoft Entra voor een AKS-cluster bijwerkt.
Notitie
U kunt ook een beheerde identiteit gebruiken voor machtigingen in plaats van een service-principal. Voor beheerde identiteiten zijn geen updates of rotaties vereist. Zie Beheerde identiteiten gebruiken voor meer informatie.
Voordat u begint
U moet Azure CLI versie 2.0.65 of hoger hebben geïnstalleerd en geconfigureerd. Voer az --version uit om de versie te bekijken. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.
Een nieuwe service-principal voor uw AKS-cluster bijwerken of maken
Wanneer u de referenties voor een AKS-cluster wilt bijwerken, kunt u ervoor kiezen om het volgende te doen:
- Werk de referenties voor de bestaande service-principal bij.
- Maak een nieuwe service-principal en werk het cluster bij om deze nieuwe referenties te gebruiken.
Waarschuwing
Als u ervoor kiest om een nieuwe service-principal te maken, wacht dan ongeveer een half uur totdat de machtiging voor de service-principal is verspreid in alle regio's. Het bijwerken van een groot AKS-cluster om deze referenties te gebruiken, kan lang duren.
Controleer de vervaldatum van uw service-principal
Gebruik de az ad app credential list opdracht om de vervaldatum van uw service-principal te controleren. In het volgende voorbeeld wordt de service-principal-id voor het $CLUSTER_NAME cluster in de $RESOURCE_GROUP_NAME resourcegroep opgehaald met behulp van de az aks show opdracht. De id van de service-principal wordt ingesteld als een variabele met de naam SP_ID.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id "$SP_ID" --query "[].endDateTime" -o tsv
De bestaande referenties voor de service-principal opnieuw instellen
Als u de referenties voor een bestaande service-principal wilt bijwerken, haalt u de service-principal-id van uw cluster op met behulp van de az aks show opdracht. In het volgende voorbeeld wordt de id voor het $CLUSTER_NAME cluster in de $RESOURCE_GROUP_NAME resourcegroep opgehaald. De variabele met de naam SP_ID slaat de service-principal-id op die in de volgende stap wordt gebruikt. Deze opdrachten gebruiken de Bash-opdrachttaal.
Waarschuwing
Wanneer u uw cluster-inloggegevens reset op een AKS-cluster dat gebruikmaakt van Azure Virtual Machine Scale Sets, wordt er een upgrade van de knooppunt-image uitgevoerd om uw knooppunten te voorzien van de nieuwe inloggegevens.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
Gebruik de variabele SP_ID met de id van de service-principal om de referenties opnieuw in te stellen met behulp van de az ad app credential reset opdracht. In het volgende voorbeeld kan het Azure-platform een nieuw beveiligd geheim genereren voor de service-principal en opslaan als een variabele met de naam SP_SECRET.
SP_SECRET=$(az ad app credential reset --id "$SP_ID" --query password -o tsv)
Vervolgens werkt u het AKS-cluster bij met referenties voor de service-principal. Deze stap is nodig om de service-principal in uw AKS-cluster bij te werken.
Een nieuwe service principal maken
Notitie
Als u de bestaande referenties van de service-principal in de vorige sectie hebt bijgewerkt, slaat u deze sectie over en werkt u in plaats daarvan het AKS-cluster bij met referenties voor de service-principal.
Als u een service-principal wilt maken en het AKS-cluster wilt bijwerken om de nieuwe referentie te gebruiken, gebruikt u de az ad sp create-for-rbac opdracht.
az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$SUBSCRIPTION_ID
De uitvoer is vergelijkbaar met de volgende voorbeelduitvoer. Noteer uw eigen appId en password om te gebruiken in de volgende stap.
{
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}
Definieer variabelen voor de service-principal-ID en het clientgeheim met behulp van de resultaten van het uitvoeren van de az ad sp create-for-rbac opdracht. De SP_ID is de appId en de SP_SECRET is uw wachtwoord.
SP_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
SP_SECRET=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Vervolgens werkt u het AKS-cluster bij met de nieuwe service-principal-referentie. Deze stap is nodig om het AKS-cluster bij te werken met de nieuwe service-principalreferentie.
AKS-cluster bijwerken met service-principal-referenties
Belangrijk
Voor grote clusters kan het bijwerken van uw AKS-cluster met een nieuwe service-principal lang duren. Overweeg om de piek-upgrade-instellingen van het knooppunt te controleren en aan te passen om onderbrekingen tijdens de update te minimaliseren. Voor kleine en middelgrote clusters duurt het enkele minuten voordat de nieuwe referenties in het cluster zijn bijgewerkt.
Werk het AKS-cluster bij met uw nieuwe of bestaande referenties door de opdracht uit te az aks update-credentials voeren.
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-service-principal \
--service-principal "$SP_ID" \
--client-secret "${SP_SECRET}"
AKS-cluster bijwerken met nieuwe referenties voor Microsoft Entra-toepassingen
U kunt nieuwe Microsoft Entra-server- en clienttoepassingen maken door de integratiestappen van Microsoft Entra te volgen of uw bestaande Microsoft Entra-toepassingen opnieuw in te stellen volgens dezelfde methode als voor het opnieuw instellen van de service-principal. Daarna moet u de referenties van uw Microsoft Entra-toepassing bijwerken met behulp van de az aks update-credentials opdracht met de variabelen --reset-aad .
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-aad \
--aad-server-app-id $SERVER_APPLICATION_ID \
--aad-server-app-secret $SERVER_APPLICATION_SECRET \
--aad-client-app-id $CLIENT_APPLICATION_ID
Volgende stappen
In dit artikel hebt u geleerd hoe u service-principal- en Microsoft Entra-toepassingsreferenties bijwerkt of roteert. Zie Best practices voor verificatie en autorisatie in AKS voor meer informatie over het gebruik van een beheerde identiteit voor workloads binnen een AKS-cluster.
Met ons samenwerken op GitHub
De bron voor deze inhoud vindt u op GitHub, waar u ook problemen en pull-aanvragen kunt maken en controleren. Bekijk onze gids voor inzenders voor meer informatie.
Azure Kubernetes Service