Een beheerde identiteit gebruiken in Azure Kubernetes Service (AKS)
Voor AKS-clusters (Azure Kubernetes Service) is een identiteit vereist voor toegang tot Azure-resources, zoals load balancers en beheerde schijven. De identiteit kan een beheerde identiteit of een service-principal zijn.
In dit artikel vindt u informatie over het inschakelen van de volgende typen beheerde identiteiten in een nieuw of bestaand AKS-cluster:
- Door het systeem toegewezen beheerde identiteit
- Uw eigen door de gebruiker toegewezen beheerde identiteit gebruiken
- Vooraf gemaakte door Kubelet beheerde identiteit
Overzicht
Wanneer u een AKS-cluster implementeert, wordt automatisch een door het systeem toegewezen beheerde identiteit gemaakt en beheerd door het Azure-platform, zodat u geen geheimen hoeft in te richten of te roteren. Zie beheerde identiteiten voor Azure-resources voor meer informatie.
AKS maakt niet automatisch een service-principal, dus u moet er een maken. Clusters die uiteindelijk een service-principal gebruiken, verlopen en de service-principal moet worden vernieuwd om te voorkomen dat de clusterverificatie met de identiteit wordt beïnvloed. Door service-principals te beheren, is het eenvoudiger om beheerde identiteiten te gebruiken. Dezelfde machtigingsvereisten gelden voor zowel service-principals als beheerde identiteiten. Beheerde identiteiten maken gebruik van verificatie op basis van certificaten. De referenties van elke beheerde identiteit hebben een verloop van 90 dagen en worden na 45 dagen samengerold.
AKS maakt gebruik van zowel door het systeem toegewezen als door de gebruiker toegewezen beheerde identiteitstypen. Deze identiteiten zijn onveranderbaar. Deze identiteitstypen mogen niet worden verward met een Microsoft Entra Workload-identiteit, die is bedoeld voor gebruik door een toepassing die op een pod wordt uitgevoerd.
Belangrijk
De open source door Microsoft Entra beheerde identiteit (preview) in Azure Kubernetes Service is afgeschaft op 24-10-2022 en het project dat in september 2023 is gearchiveerd. Zie de afschaffingsmelding voor meer informatie. De door AKS beheerde invoegtoepassing wordt in september 2024 afgeschaft.
We raden u aan eerst Microsoft Entra Workload-ID overzicht te bekijken. Entra Workload-ID-verificatie vervangt de door Microsoft Entra-pod beheerde identiteit (preview) en is de aanbevolen methode om een toepassing die wordt uitgevoerd op een pod in te schakelen om zichzelf te verifiëren bij andere Azure-services die dit ondersteunen.
Voordat u begint
Zorg ervoor dat Azure CLI versie 2.23.0 of hoger is geïnstalleerd. Voer
az --version
uit om de versie te bekijken. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.Als u een vooraf gemaakte beheerde kubelet-identiteit wilt gebruiken, moet Azure CLI versie 2.26.0 of hoger zijn geïnstalleerd.
Als u een beheerde identiteit wilt bijwerken op een bestaand cluster, moet Azure CLI versie 2.49.0 of hoger zijn geïnstalleerd.
Beperkingen
- Tenants die een cluster met beheerde identiteit verplaatsen of migreren, worden niet ondersteund.
- Als voor het cluster een door Microsoft Entra beheerde identiteit (
aad-pod-identity
) is ingeschakeld, wijzigen NMI-pods (Node Managed Identity) de iptables van de knooppunten om aanroepen te onderscheppen naar het EINDPUNT van Azure Instance Metadata (IMDS). Deze configuratie betekent dat elke aanvraag die is ingediend bij het eindpunt metagegevens wordt onderschept door NMI, zelfs als de pod niet wordt gebruiktaad-pod-identity
. AzurePodIdentityException CRD kan worden geconfigureerd om te informerenaad-pod-identity
over aanvragen naar het metagegevenseindpunt dat afkomstig is van een pod die overeenkomt met labels die zijn gedefinieerd in CRD, moeten worden geproxied zonder enige verwerking in NMI. De systeempods metkubernetes.azure.com/managedby: aks
label in kube-system-naamruimte moeten worden uitgeslotenaad-pod-identity
door de CRD van AzurePodIdentityException te configureren.- Zie Microsoft Entra ID-pod-identity uitschakelen voor een specifieke pod of toepassing voor meer informatie.
- Als u een uitzondering wilt configureren, installeert u de YAML van de microfoon-uitzondering.
- AKS biedt geen ondersteuning voor het gebruik van een door het systeem toegewezen beheerde identiteit wanneer u een aangepaste privé-DNS-zone gebruikt.
Samenvatting van beheerde identiteiten
AKS maakt gebruik van verschillende beheerde identiteiten voor ingebouwde services en invoegtoepassingen.
Identiteit | Naam | Gebruiksscenario | Standaardmachtigingen | Bring Your Own Identity |
---|---|---|---|---|
Besturingsvlak | Naam van AKS-cluster | Wordt gebruikt door AKS-besturingsvlakonderdelen voor het beheren van clusterresources, waaronder load balancers voor inkomend verkeer en door AKS beheerde openbare IP-adressen, automatische schaalaanpassing van clusters, Azure Disk, File, Blob CSI-stuurprogramma's. | Rol Inzender voor knooppuntresourcegroep | Ondersteund |
Kubelet | AKS-clusternaam-agentpool | Verificatie met Azure Container Registry (ACR). | N.v.v1.15 (voor kubernetes v1.15+) | Ondersteund |
Invoegtoepassing | AzureNPM | Er is geen identiteit vereist. | N.v.t. | Nee |
Invoegtoepassing | AzureCNI-netwerkbewaking | Er is geen identiteit vereist. | N.v.t. | Nee |
Invoegtoepassing | azure-policy (gatekeeper) | Er is geen identiteit vereist. | N.v.t. | Nee |
Invoegtoepassing | azure-policy | Er is geen identiteit vereist. | N.v.t. | Nee |
Invoegtoepassing | Calico | Er is geen identiteit vereist. | N.v.t. | Nee |
Invoegtoepassing | Dashboard | Er is geen identiteit vereist. | N.v.t. | Nee |
Invoegtoepassing | toepassingsroutering | Beheert Azure DNS- en Azure Key Vault-certificaten | Key Vault Secrets User role for Key Vault, DNZ Zone Contributor role for DNS zones, Privé-DNS Zone Contributor role for private DNS zones | Nee |
Invoegtoepassing | HTTPApplicationRouting | Beheert de vereiste netwerkbronnen. | Lezerrol voor knooppuntresourcegroep, rol inzender voor DNS-zone | Nee |
Invoegtoepassing | Toepassingsgateway voor inkomend verkeer | Beheert de vereiste netwerkbronnen. | Rol Inzender voor knooppuntresourcegroep | Nee |
Invoegtoepassing | omsagent | Wordt gebruikt om metrische AKS-gegevens naar Azure Monitor te verzenden. | De rol Van uitgever van metrische gegevens bewaken | Nee |
Invoegtoepassing | Virtueel knooppunt (ACI Verbinding maken or) | Beheert vereiste netwerkbronnen voor Azure Container Instances (ACI). | Rol Inzender voor knooppuntresourcegroep | Nee |
Invoegtoepassing | Kostenanalyse | Wordt gebruikt om kostentoewijzingsgegevens te verzamelen | ||
Workload-identiteit | Workload-id van Microsoft Entra | Hiermee kunnen toepassingen veilig toegang krijgen tot cloudresources met de workload-id van Microsoft Entra. | N.v.t. | Nee |
Beheerde identiteiten inschakelen in een nieuw AKS-cluster
Notitie
AKS maakt een door de gebruiker toegewezen kubelet-identiteit in de knooppuntresourcegroep als u uw eigen door kubelet beheerde identiteit niet opgeeft.
Notitie
Als uw cluster al beheerde identiteit gebruikt en de identiteit is gewijzigd, bijvoorbeeld wanneer u het clusteridentiteitstype bijwerkt van het door het systeem toegewezen aan de gebruiker, is er een vertraging voor het overschakelen van onderdelen van het besturingsvlak naar de nieuwe identiteit. Onderdelen van het besturingsvlak blijven de oude identiteit gebruiken totdat het token verloopt. Nadat het token is vernieuwd, schakelen ze over naar de nieuwe identiteit. Dit proces kan enkele uren duren.
Maak een Azure-resourcegroep met behulp van de
az group create
opdracht.az group create --name myResourceGroup --location westus2
Maak een AKS-cluster met behulp van de
az aks create
opdracht.az aks create -g myResourceGroup -n myManagedCluster --enable-managed-identity
Haal referenties op om toegang te krijgen tot het cluster met behulp van de
az aks get-credentials
opdracht.az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
Beheerde identiteiten inschakelen op een bestaand AKS-cluster
Als u uw bestaande AKS-cluster wilt bijwerken dat gebruikmaakt van een service-principal om een door het systeem toegewezen beheerde identiteit te gebruiken, voert u de az aks update
opdracht uit.
az aks update -g myResourceGroup -n myManagedCluster --enable-managed-identity
Nadat het cluster is bijgewerkt, gebruiken het besturingsvlak en de pods de beheerde identiteit. Kubelet blijft een service-principal gebruiken totdat u uw agentpool bijwerken. U kunt de az aks nodepool upgrade --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-image-only
opdracht op uw knooppunten gebruiken om bij te werken naar een beheerde identiteit. Een upgrade van een knooppuntgroep veroorzaakt downtime voor uw AKS-cluster, omdat de knooppunten in de knooppuntgroepen zijn cordoned/verwijderd en opnieuw worden hersteld.
Notitie
Houd rekening met de volgende informatie bij het bijwerken van uw cluster:
Een update werkt alleen als er een VHD-update wordt gebruikt. Als u de nieuwste VHD uitvoert, moet u wachten tot de volgende VHD beschikbaar is om de update uit te voeren.
De Azure CLI zorgt ervoor dat de machtiging van uw invoegtoepassing correct is ingesteld na de migratie. Als u de Azure CLI niet gebruikt om de migratiebewerking uit te voeren, moet u de machtiging van de invoegtoepassingsidentiteit zelf afhandelen. Zie Azure-rollen toewijzen met behulp van ARM-sjablonen voor een voorbeeld van een Azure Resource Manager-sjabloon (ARM).
Als uw cluster gebruikmaakt
--attach-acr
van het ophalen van installatiekopieën uit Azure Container Registry, moet u deaz aks update --resource-group myResourceGroup --name myAKSCluster --attach-acr <ACR resource ID>
opdracht uitvoeren nadat u het cluster hebt bijgewerkt, zodat de zojuist gemaakte kubelet die wordt gebruikt voor beheerde identiteit, de machtiging krijgt om uit ACR te halen. Anders kunt u na de update niet meer ophalen uit ACR.
Roltoewijzing toevoegen voor beheerde identiteit
Wanneer u uw eigen VNet maakt en gebruikt, koppelt u Azure-schijven, statisch IP-adres, routetabel of door de gebruiker toegewezen kubelet-identiteit waar de resources zich buiten de resourcegroep van het werkknooppunt bevinden, voegt de Azure CLI de roltoewijzing automatisch toe. Als u een ARM-sjabloon of een andere methode gebruikt, moet u de principal-id van de beheerde identiteit van het cluster gebruiken om een roltoewijzing uit te voeren.
Als u de Azure CLI niet gebruikt, maar u uw eigen VNet gebruikt, voegt u Azure-schijven, statisch IP-adres, routetabel of door de gebruiker toegewezen kubelet-identiteit toe die zich buiten de resourcegroep van het werkknooppunt bevindt, dan raden we u aan om een door de gebruiker toegewezen beheerde identiteit voor het besturingsvlak te gebruiken. Voor het gebruik van een door het systeem toegewezen beheerde identiteit kunnen we de identiteits-id niet ophalen voordat het cluster wordt gemaakt, waardoor de roltoewijzing van kracht wordt.
De principal-id van beheerde identiteit ophalen
Haal de principal-id van de bestaande identiteit op met behulp van de
az identity show
opdracht.az identity show --ids <identity-resource-id>
De uitvoer moet er ongeveer uitzien als in de volgende voorbeelduitvoer:
{ "clientId": "<client-id>", "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", "location": "eastus", "name": "myIdentity", "principalId": "<principal-id>", "resourceGroup": "myResourceGroup", "tags": {}, "tenantId": "<tenant-id>", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Roltoewijzing toevoegen
Voor een VNet, gekoppelde Azure-schijf, statisch IP-adres of routetabel buiten de standaardresourcegroep voor werkknooppunten, moet u de Contributor
rol toewijzen aan de aangepaste resourcegroep.
Wijs de
Contributor
rol toe aan de aangepaste resourcegroep met behulp van deaz role assignment create
opdracht.az role assignment create --assignee <control-plane-identity-principal-id> --role "Contributor" --scope "<custom-resource-group-resource-id>"
Voor een door de gebruiker toegewezen kubelet-identiteit buiten de resourcegroep van het standaardwerkknooppunt moet u de rol Managed Identity Operator toewijzen aan de kubelet-identiteit voor beheerde identiteit op het besturingsvlak.
Wijs de
Managed Identity Operator
rol toe aan de kubelet-identiteit met behulp van deaz role assignment create
opdracht.az role assignment create --assignee <control-plane-identity-principal-id> --role "Managed Identity Operator" --scope "<kubelet-identity-resource-id>"
Notitie
Het kan tot 60 minuten duren voordat de machtigingen die aan de beheerde identiteit van uw cluster zijn verleend, zijn ingevuld.
Uw eigen beheerde identiteit meenemen
Een cluster maken met een door de gebruiker toegewezen beheerde identiteit
Een aangepaste door de gebruiker toegewezen beheerde identiteit voor het besturingsvlak maakt toegang tot de bestaande identiteit mogelijk voordat het cluster wordt gemaakt. Deze functie maakt scenario's mogelijk, zoals het gebruik van een aangepast VNet of uitgaand type UDR met een vooraf gemaakte beheerde identiteit.
Notitie
Regio's USDOD - centraal, USDOD - oost en USGov Iowa in de Azure US Government-cloud worden niet ondersteund.
AKS maakt een door de gebruiker toegewezen kubelet-identiteit in de knooppuntresourcegroep als u uw eigen door kubelet beheerde identiteit niet opgeeft.
Als u geen beheerde identiteit hebt, maakt u er een met behulp van de
az identity create
opdracht.az identity create --name myIdentity --resource-group myResourceGroup
De uitvoer moet er ongeveer uitzien als in de volgende voorbeelduitvoer:
{ "clientId": "<client-id>", "clientSecretUrl": "<clientSecretUrl>", "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", "location": "westus2", "name": "myIdentity", "principalId": "<principal-id>", "resourceGroup": "myResourceGroup", "tags": {}, "tenantId": "<tenant-id>", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Notitie
Het kan tot 60 minuten duren voordat de machtigingen die aan de beheerde identiteit van uw cluster zijn verleend, zijn ingevuld.
Voordat u het cluster maakt, voegt u de roltoewijzing voor beheerde identiteit toe met behulp van de
az role assignment create
opdracht.Maak het cluster met door de gebruiker toegewezen beheerde identiteit.
az aks create \ --resource-group myResourceGroup \ --name myManagedCluster \ --network-plugin azure \ --vnet-subnet-id <subnet-id> \ --dns-service-ip 10.2.0.10 \ --service-cidr 10.2.0.0/24 \ --enable-managed-identity \ --assign-identity <identity-resource-id>
Beheerde identiteit op een bestaand cluster bijwerken
Notitie
Het migreren van een beheerde identiteit voor het besturingsvlak, van door het systeem toegewezen aan door de gebruiker toegewezen, veroorzaakt geen downtime voor besturingsvlak- en agentpools. Ondertussen blijven onderdelen van het besturingsvlak de oude door het systeem toegewezen identiteit enkele uren gebruiken totdat het volgende token wordt vernieuwd.
Als u geen beheerde identiteit hebt, maakt u er een met behulp van de
az identity create
opdracht.az identity create --name myIdentity --resource-group myResourceGroup
De uitvoer moet er ongeveer uitzien als in de volgende voorbeelduitvoer:
{ "clientId": "<client-id>", "clientSecretUrl": "<clientSecretUrl>", "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", "location": "westus2", "name": "myIdentity", "principalId": "<principal-id>", "resourceGroup": "myResourceGroup", "tags": {}, "tenantId": "<tenant-id>", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Nadat u de aangepaste door de gebruiker toegewezen beheerde identiteit voor het besturingsvlak hebt gemaakt, voegt u de roltoewijzing voor de beheerde identiteit toe met behulp van de
az role assignment create
opdracht.Werk uw cluster bij met uw bestaande identiteiten met behulp van de
az aks update
opdracht. Zorg ervoor dat u de resource-id van de beheerde identiteit voor het besturingsvlak opgeeft door hetassign-identity
argument op te geven.az aks update \ --resource-group myResourceGroup \ --name myManagedCluster \ --enable-managed-identity \ --assign-identity <identity-resource-id>
De uitvoer voor een geslaagde clusterupdate met uw eigen beheerde kubelet-identiteit moet er ongeveer uitzien als in de volgende voorbeelduitvoer:
"identity": { "principalId": null, "tenantId": null, "type": "UserAssigned", "userAssignedIdentities": { "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": { "clientId": "<client-id>", "principalId": "<principal-id>" } } },
Een vooraf gemaakte beheerde kubelet-identiteit gebruiken
Een kubelet-identiteit maakt toegang tot de bestaande identiteit mogelijk voordat het cluster wordt gemaakt. Deze functie maakt scenario's mogelijk, zoals verbinding met ACR met een vooraf gemaakte beheerde identiteit.
Vooraf gemaakte kubelet-identiteitsbeperkingen
- Werkt alleen met een door de gebruiker toegewezen beheerd cluster.
- De regio's China - oost en China - noord in Microsoft Azure beheerd door 21Vianet worden niet ondersteund.
Door de gebruiker toegewezen beheerde identiteiten maken
Beheerde identiteit van besturingsvlak
Als u geen beheerde identiteit voor het besturingsvlak hebt, maakt u er een met behulp van de
az identity create
.az identity create --name myIdentity --resource-group myResourceGroup
De uitvoer moet er ongeveer uitzien als in de volgende voorbeelduitvoer:
{ "clientId": "<client-id>", "clientSecretUrl": "<clientSecretUrl>", "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", "location": "westus2", "name": "myIdentity", "principalId": "<principal-id>", "resourceGroup": "myResourceGroup", "tags": {}, "tenantId": "<tenant-id>", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Beheerde kubelet-identiteit
Als u geen beheerde kubelet-identiteit hebt, maakt u er een met behulp van de
az identity create
opdracht.az identity create --name myKubeletIdentity --resource-group myResourceGroup
De uitvoer moet er ongeveer uitzien als in de volgende voorbeelduitvoer:
{ "clientId": "<client-id>", "clientSecretUrl": "<clientSecretUrl>", "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity", "location": "westus2", "name": "myKubeletIdentity", "principalId": "<principal-id>", "resourceGroup": "myResourceGroup", "tags": {}, "tenantId": "<tenant-id>", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Een cluster maken met een door de gebruiker toegewezen kubelet-identiteit
U kunt nu uw AKS-cluster maken met uw bestaande identiteiten. Zorg ervoor dat u de resource-id van de beheerde identiteit voor het besturingsvlak opgeeft door het assign-identity
argument en de beheerde kubelet-identiteit op te geven met behulp van het assign-kubelet-identity
argument.
Maak een AKS-cluster met uw bestaande identiteiten met behulp van de
az aks create
opdracht.az aks create \ --resource-group myResourceGroup \ --name myManagedCluster \ --network-plugin azure \ --vnet-subnet-id <subnet-id> \ --dns-service-ip 10.2.0.10 \ --service-cidr 10.2.0.0/24 \ --enable-managed-identity \ --assign-identity <identity-resource-id> \ --assign-kubelet-identity <kubelet-identity-resource-id>
Een geslaagd AKS-cluster maken met uw eigen beheerde kubelet-identiteit moet er ongeveer uitzien als in de volgende voorbeelduitvoer:
"identity": { "principalId": null, "tenantId": null, "type": "UserAssigned", "userAssignedIdentities": { "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": { "clientId": "<client-id>", "principalId": "<principal-id>" } } }, "identityProfile": { "kubeletidentity": { "clientId": "<client-id>", "objectId": "<object-id>", "resourceId": "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity" } },
Een bestaand cluster bijwerken met kubelet-identiteit
Waarschuwing
Het bijwerken van kubelet managed identity upgradet knooppuntgroepen, waardoor downtime voor uw AKS-cluster wordt veroorzaakt omdat de knooppunten in de knooppuntgroepen worden cordoned/verwijderd en opnieuw worden hersteld.
Notitie
Als uw cluster gebruikmaakt --attach-acr
van het ophalen van installatiekopieën uit Azure Container Registry, moet u de az aks update --resource-group myResourceGroup --name myAKSCluster --attach-acr <ACR Resource ID>
opdracht uitvoeren nadat u het cluster hebt bijgewerkt, zodat de zojuist gemaakte kubelet die wordt gebruikt voor beheerde identiteit, de machtiging krijgt om uit ACR te halen. Anders kunt u na de upgrade niet meer ophalen uit ACR.
De huidige beheerde identiteit voor het besturingsvlak voor uw AKS-cluster ophalen
Controleer of uw AKS-cluster de door de gebruiker toegewezen beheerde identiteit gebruikt met behulp van de
az aks show
opdracht.az aks show -g <RGName> -n <ClusterName> --query "servicePrincipalProfile"
Als uw cluster een beheerde identiteit gebruikt, wordt de uitvoer weergegeven
clientId
met een waarde van msi. Een cluster met behulp van een service-principal toont een object-id. Voorbeeld:{ "clientId": "msi" }
Nadat u hebt bevestigd dat uw cluster een beheerde identiteit gebruikt, zoekt u de resource-id van de beheerde identiteit met behulp van de
az aks show
opdracht.az aks show -g <RGName> -n <ClusterName> --query "identity"
Voor een door de gebruiker toegewezen beheerde identiteit moet uw uitvoer er ongeveer uitzien als in de volgende voorbeelduitvoer:
{ "principalId": null, "tenantId": null, "type": "UserAssigned", "userAssignedIdentities": <identity-resource-id> "clientId": "<client-id>", "principalId": "<principal-id>" },
Uw cluster bijwerken met kubelet-identiteit
Als u geen beheerde kubelet-identiteit hebt, maakt u er een met behulp van de
az identity create
opdracht.az identity create --name myKubeletIdentity --resource-group myResourceGroup
De uitvoer moet er ongeveer uitzien als in de volgende voorbeelduitvoer:
{ "clientId": "<client-id>", "clientSecretUrl": "<clientSecretUrl>", "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity", "location": "westus2", "name": "myKubeletIdentity", "principalId": "<principal-id>", "resourceGroup": "myResourceGroup", "tags": {}, "tenantId": "<tenant-id>", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Werk uw cluster bij met uw bestaande identiteiten met behulp van de
az aks update
opdracht. Zorg ervoor dat u de resource-id van de beheerde identiteit voor het besturingsvlak opgeeft door hetassign-identity
argument en de beheerde kubelet-identiteit voorassign-kubelet-identity
het argument op te geven.az aks update \ --resource-group myResourceGroup \ --name myManagedCluster \ --enable-managed-identity \ --assign-identity <identity-resource-id> \ --assign-kubelet-identity <kubelet-identity-resource-id>
De uitvoer voor een geslaagde clusterupdate met uw eigen beheerde kubelet-identiteit moet er ongeveer uitzien als in de volgende voorbeelduitvoer:
"identity": { "principalId": null, "tenantId": null, "type": "UserAssigned", "userAssignedIdentities": { "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": { "clientId": "<client-id>", "principalId": "<principal-id>" } } }, "identityProfile": { "kubeletidentity": { "clientId": "<client-id>", "objectId": "<object-id>", "resourceId": "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity" } },
Volgende stappen
- Gebruik Azure Resource Manager-sjablonen om een cluster met beheerde identiteit te maken.
- Meer informatie over het [gebruik van kubelogin][kubelogin-authentication] voor alle ondersteunde Microsoft Entra-verificatiemethoden in AKS.