Door AKS beheerde Microsoft Entra-integratie inschakelen voor Kubernetes-clusters met kubelogin

De door AKS beheerde Microsoft Entra-integratie vereenvoudigt het integratieproces van Microsoft Entra. Voorheen moest u een client- en server-app maken en moest de Microsoft Entra-tenant rolmachtigingen toewijzen aan Directory-lezers. De AKS-resourceprovider (Azure Kubernetes Service) beheert nu de client- en server-apps voor u.

Clusterbeheerders kunnen Kubernetes op rollen gebaseerd toegangsbeheer (Kubernetes RBAC) configureren op basis van de identiteit of het lidmaatschap van een directorygroep van een gebruiker. Microsoft Entra-verificatie wordt geleverd aan AKS-clusters met OpenID Connect. OpenID Connect is een identiteitslaag die is gebouwd boven op het OAuth 2.0-protocol. Zie de OpenID Connect-documentatie voor meer informatie over OpenID Connect.

Meer informatie over de Microsoft Entra-integratiestroom vindt u in de Microsoft Entra-documentatie.

Beperkingen

Hier volgen beperkingen voor het integreren van verificatie op AKS:

Integratie kan niet worden uitgeschakeld nadat deze is toegevoegd.
Downgraden van een geïntegreerd cluster naar de verouderde Microsoft Entra ID-clusters worden niet ondersteund.
Clusters zonder Kubernetes RBAC-ondersteuning kunnen de integratie niet toevoegen.

Voordat u begint

Controleer of u de volgende items hebt om de AKS-invoegtoepassing te installeren:

U hebt Azure CLI versie 2.29.0 of hoger geïnstalleerd en geconfigureerd. Voer de az --version opdracht uit om de versie te vinden. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.
U heeft kubectl met minimaal versie 1.18.1 of kubelogin nodig. Met de Azure CLI en de Azure PowerShell-module worden deze twee opdrachten opgenomen en automatisch beheerd. Dit betekent dat ze standaard worden bijgewerkt en dat het uitvoeren van az aks install-cli niet vereist of aanbevolen is. Als u een geautomatiseerde pijplijn gebruikt, moet u upgrades voor de juiste of nieuwste versie beheren. Het verschil tussen de secundaire versies van Kubernetes en kubectl mag niet meer dan één versie zijn. Anders treden verificatieproblemen op bij de verkeerde versie.
Als u Helm gebruikt, hebt u een minimumversie van Helm 3.3 nodig.
Voor deze configuratie moet u een Microsoft Entra-groep voor uw cluster hebben. Deze groep is geregistreerd als een beheergroep op het cluster om beheerdersmachtigingen te verlenen. Als u geen bestaande Microsoft Entra-groep hebt, kunt u er een maken met behulp van de az ad group create opdracht.

Notitie

Geïntegreerde Microsoft Entra-clusters met een nieuwere Kubernetes-versie dan versie 1.24 gebruiken automatisch de kubelogin indeling. Vanaf Kubernetes versie 1.24 is de standaardindeling van de clusterUser referentiegegevens voor Microsoft Entra ID-clusters exec, waarvoor kubelogin binair in de uitvoering vereist is PATH. Er is geen gedragswijziging voor niet-Microsoft Entra-clusters of Microsoft Entra ID-clusters met een versie ouder dan 1.24. Het bestaande gedownloade kubeconfig bestand blijft werken. Er wordt een optionele queryparameter format opgenomen bij het verkrijgen van clusterUser referenties voor het overschrijven van de standaardgedragswijziging. U kunt het format expliciet opgeven aan azure als u het oude kubeconfig format wilt behouden.

De integratie inschakelen op uw AKS-cluster

Een nieuw cluster maken

Maak een Azure-resourcegroep met behulp van de az group create opdracht.
```
az group create --name myResourceGroup --location centralus
```

Maak een AKS-cluster en schakel beheertoegang in voor uw Microsoft Entra-groep met behulp van de az aks create opdracht.

az aks create \
  --resource-group myResourceGroup \
  --name myManagedCluster \
  --enable-aad \
  --aad-admin-group-object-ids <id> \
  --aad-tenant-id <id> \
  --generate-ssh-keys

Een geslaagde creatie van een door AKS beheerd Microsoft Entra ID-cluster bevat de volgende sectie in de hoofdtekst van het antwoord.

"AADProfile": {
  "adminGroupObjectIds": [
  "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
  ],
  "clientAppId": null,
  "managed": true,
  "serverAppId": null,
  "serverAppSecret": null,
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

Een bestaand cluster gebruiken

Schakel door AKS beheerde Microsoft Entra-integratie in op uw bestaande Kubernetes RBAC-cluster met behulp van de az aks update opdracht. Zorg ervoor dat u de beheergroep zo instelt dat de toegang op uw cluster behouden blijft.

az aks update \
  --resource-group MyResourceGroup \
  --name myManagedCluster \
  --enable-aad \
  --aad-admin-group-object-ids <id-1>,<id-2> \
  --aad-tenant-id <id>

Een geslaagde activering van een door AKS beheerd Microsoft Entra ID-cluster heeft de volgende sectie in de hoofdtekst van het antwoord:

"AADProfile": {
  "adminGroupObjectIds": [
      "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
  ],
  "clientAppId": null,
  "managed": true,
  "serverAppId": null,
  "serverAppSecret": null,
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

Verouderd cluster migreren naar integratie

Als uw cluster gebruikmaakt van verouderde Microsoft Entra-integratie, kunt u upgraden naar door AKS beheerde Microsoft Entra-integratie via de az aks update opdracht.

Waarschuwing

Clusters in de gratis laag kunnen downtime van api-servers ondervinden tijdens de upgrade. We raden u aan om buiten uw kantooruren een upgrade uit te voeren. Na de upgrade wordt de kubeconfig inhoud gewijzigd. U moet az aks get-credentials --resource-group <AKS resource group name> --name <AKS cluster name> uitvoeren om de nieuwe referenties samen te voegen in het kubeconfig bestand.

az aks update \
  --resource-group myResourceGroup \
  --name myManagedCluster \
  --enable-aad \
  --aad-admin-group-object-ids <id> \
  --aad-tenant-id <id>

Een geslaagde migratie van een door AKS beheerd Microsoft Entra ID-cluster heeft de volgende sectie in de hoofdtekst van het antwoord:

"AADProfile": {
  "adminGroupObjectIds": [
      "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
  ],
  "clientAppId": null,
  "managed": true,
  "serverAppId": null,
  "serverAppSecret": null,
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

Toegang tot uw ingeschakelde cluster

Haal de gebruikersreferenties op om toegang te krijgen tot uw cluster met behulp van de az aks get-credentials opdracht.
```
az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
```
Volg de aanmeldingsinstructies.
Stel kubelogin in om de Azure CLI te gebruiken.
```
kubelogin convert-kubeconfig -l azurecli
```
Bekijk de knooppunten in het cluster met de kubectl get nodes opdracht.
```
kubectl get nodes
```

Er zijn enkele niet-interactieve scenario's die geen ondersteuning bieden kubectl. Gebruik in deze gevallen kubelogin om verbinding te maken met het cluster met een niet-interactieve service-principal-credential om pijplijnen voor continue integratie uit te voeren.

Notitie

Geïntegreerde Microsoft Entra-clusters met een nieuwere Kubernetes-versie dan versie 1.24 gebruiken automatisch de kubelogin indeling. Vanaf Kubernetes versie 1.24 is het standaardformaat van de clusterUser referentiegegevens voor Microsoft Entra ID-clusters exec, waarvoor het kubelogin-bestand zich in het uitvoeringspad moet bevinden. Er is geen gedragswijziging voor niet-Microsoft Entra-clusters of Microsoft Entra ID-clusters met een versie ouder dan 1.24. Het bestaande gedownloade kubeconfig bestand blijft werken. Er wordt een optionele queryparameter format opgenomen bij het verkrijgen van clusterUser referenties voor het overschrijven van de standaardgedragswijziging. U kunt het format expliciet opgeven aan azure als u het oude kubeconfig format wilt behouden.

Wanneer u de clusterUser referentie ophaalt, kunt u de format queryparameter gebruiken om het standaardgedrag te overschrijven. U kunt de waarde instellen op azure om het oorspronkelijke kubeconfig formaat te gebruiken.

az aks get-credentials --format azure

Als voor uw geïntegreerde Microsoft Entra-cluster Kubernetes versie 1.24 of lager wordt gebruikt, moet u de kubeconfig indeling handmatig converteren.

export KUBECONFIG=/path/to/kubeconfig
kubelogin convert-kubeconfig

Als u de foutmelding krijgt : de Azure-auth-invoegtoepassing is verwijderd., moet u de opdracht kubelogin convert-kubeconfig uitvoeren om de kubeconfig indeling handmatig te converteren. Zie Bekende problemen met Azure Kubelogin voor meer informatie.

Toegangsproblemen oplossen

Belangrijk

De stap die in deze sectie wordt beschreven, stelt een alternatieve verificatiemethode voor vergeleken met de normale Microsoft Entra-groepsverificatie. Gebruik deze optie alleen in noodgevallen.

Als u geen beheerderstoegang hebt tot een geldige Microsoft Entra-groep, kunt u deze tijdelijke oplossing volgen. Meld u aan met een account dat lid is van de rol Azure Kubernetes Service-clusterbeheerder en verleent uw groep of tenant beheerdersreferenties voor toegang tot uw cluster.

Volgende stappen

Meer informatie over Microsoft Entra-integratie met Kubernetes RBAC.
Meer informatie over AKS- en Kubernetes-identiteitsconcepten.
Meer informatie over het gebruik van kubelogin voor alle ondersteunde Microsoft Entra-verificatiemethoden in AKS.
Gebruik Azure Resource Manager-sjablonen om clusters met AKS-beheerde Microsoft Entra ID te maken.

Feedback

Is deze pagina nuttig?

Last updated on 2025-10-07